简单的公鸡队样本分析

admin 2022年4月13日22:55:36程序逆向评论12 views857字阅读2分51秒阅读模式

结束了,发一个今天给我的样本的简单分析,因为样本确实没有用到任何的对抗技巧,所以还是很简单的。如果不是这种很简单的马,分析过程是非常需要费时间的,这个需要了解,并不是这么轻轻松松。顺便提一下这是前同事发给我的一个样本,这里所指的马并非真实世界里的动物,而是计算机领域的木马或者后门这类的行业人士对恶意文件的俗称。

简单的公鸡队样本分析


由于这个马很简单,立马搜索到回连IP发给前同事后,我与前同事的交流到这里就结束了,因为对于目前活动的对抗来说,知道了IP其实也达到目的了。我就空闲的时候看了下,首先要说明的是中间空白部分都是空格,文件名做了一点伪装。

简单的公鸡队样本分析

简单的公鸡队样本分析


不管怎样,这是个可执行文件,先静态人工看一遍,找到可执行文件的main函数地址后,发现由于符号并没有去掉,导致对代码的阅读轻松了不少,可以发现下图这里申请了一段空间,接着将内嵌的经过编码的shellcode数据读取并对其进行base64解码,之后将解码的十六进制数据转换为二进制字节数据。

简单的公鸡队样本分析


下面的就是上面标注的一大段可疑数据,实质是加密后的经过base64编码的shellcode。

简单的公鸡队样本分析


经过转换的二进制字节数据会与0xA9异或,之后0xA9会与0x4B累加作为下一次异或值,循环的次数为0x39F。

简单的公鸡队样本分析


之后就是这类马常规的手段,申请内存空间,接着复制解密的数据,之后跳转执行shellcode。

简单的公鸡队样本分析


也能发现,这个马的编译环境使用的是Windows平台下的GCC编译器,9.2.0是这个工具的最新版。

简单的公鸡队样本分析


动态调试下,先按照之前静态分析的流程解密shellcode,然后跳转执行。

简单的公鸡队样本分析


提取的shellcode如下:

简单的公鸡队样本分析


shellcode利用常规手法API哈希寻找所需的API函数,避免被检测。

简单的公鸡队样本分析


获取到LoadLibraryExA后加载wininet动态库:

简单的公鸡队样本分析


最终回连的远端地址为:”119.23.246.233",仔细查看,这个IP实质就在上述解密出的shellcode数据的尾部。

简单的公鸡队样本分析

简单的公鸡队样本分析


由于回连的地址已经找到,至于第二阶段的执行过程这里不再叙述。


害,终于结束啦!

原文始发于微信公众号(OnionSec):简单的公鸡队样本分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月13日22:55:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  简单的公鸡队样本分析 http://cn-sec.com/archives/700232.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: