结束了,发一个今天给我的样本的简单分析,因为样本确实没有用到任何的对抗技巧,所以还是很简单的。如果不是这种很简单的马,分析过程是非常需要费时间的,这个需要了解,并不是这么轻轻松松。顺便提一下这是前同事发给我的一个样本,这里所指的马并非真实世界里的动物,而是计算机领域的木马或者后门这类的行业人士对恶意文件的俗称。
由于这个马很简单,立马搜索到回连IP发给前同事后,我与前同事的交流到这里就结束了,因为对于目前活动的对抗来说,知道了IP其实也达到目的了。我就空闲的时候看了下,首先要说明的是中间空白部分都是空格,文件名做了一点伪装。
不管怎样,这是个可执行文件,先静态人工看一遍,找到可执行文件的main函数地址后,发现由于符号并没有去掉,导致对代码的阅读轻松了不少,可以发现下图这里申请了一段空间,接着将内嵌的经过编码的shellcode数据读取并对其进行base64解码,之后将解码的十六进制数据转换为二进制字节数据。
下面的就是上面标注的一大段可疑数据,实质是加密后的经过base64编码的shellcode。
经过转换的二进制字节数据会与0xA9异或,之后0xA9会与0x4B累加作为下一次异或值,循环的次数为0x39F。
之后就是这类马常规的手段,申请内存空间,接着复制解密的数据,之后跳转执行shellcode。
也能发现,这个马的编译环境使用的是Windows平台下的GCC编译器,9.2.0是这个工具的最新版。
动态调试下,先按照之前静态分析的流程解密shellcode,然后跳转执行。
提取的shellcode如下:
shellcode利用常规手法API哈希寻找所需的API函数,避免被检测。
获取到LoadLibraryExA后加载wininet动态库:
最终回连的远端地址为:”119.23.246.233",仔细查看,这个IP实质就在上述解密出的shellcode数据的尾部。
由于回连的地址已经找到,至于第二阶段的执行过程这里不再叙述。
害,终于结束啦!
原文始发于微信公众号(OnionSec):简单的公鸡队样本分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论