相对于Stage 1,Stage 2没有太多骚操作,更多的是为后期扩展做准备。
# 环境准备
与Stage 1相同,木马首先设置daemon、自删除:
解密相关字符串,这里的字符串包括:版本/架构信息、公网Tor Socks代理地址、C2 URL信息:
加密方式也与Stage 1相同,唯一的区别是Key变更为:g&*kdj$dg0_@@7'x:
而后根据自身文件名称创建工作目录,并写入SSL相关密钥:
# 配置Tor
在与C2通信之前,木马首先下载并运行Tor:
具体的操作是通过硬编码的公网socks代理连接C2服务器,进行下载并运行:
# C2通信
在Tor配置完成后,通过Tor连接C2地址,样本中的是:
首先回传基本信息,通知C2上线,上传的基本信息包括IP、MAC、木马版本等:
而后与C2通信,支持的命令包括:download、exec、reboot等:
以exec为例分析,调用常见shell执行命令:
# 关于Stage 3
一些分析文章将Stage 2中下载的模块称为Stage 3,个人拿到的样本中这一部分只有两个模块:
-
Tor通信:独立于主程序、X86
-
后渗透:多个漏洞利用、网络嗅探等、MIPS
但可以推断的是,还有更多的模块待发掘,或正处于编写中。
这部分是对木马功能的补充,但相较于整体而言,对其进行逆向的学习价值已不大,知其然即可。
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论