RWhackA远程线程注入式病毒分析(H&NCTF2024)

admin
admin
admin
108581
文章
90
评论
2024年6月27日21:07:00评论2 views字数 11164阅读37分12秒阅读模式

wp拜读:[原创]H&NCTF RE 部分题解(https://bbs.kanxue.com/thread-281801.htm#msg_header_h2_0)

涉及到的知识点:
IDA动态调试
IDAPython脚本
用快照对进程、模块、线程进行遍历(代码段)
病毒感染实现(PE infector)
DLL文件分析
RWhackA远程线程注入式病毒分析(H&NCTF2024)
发现保护器保护器: Enigma Virtual Box
脱壳失败:
RWhackA远程线程注入式病毒分析(H&NCTF2024)

分析main函数逻辑

开始手动静态分析:
RWhackA远程线程注入式病毒分析(H&NCTF2024)
静态分析发现有很多內存访问异常点,均出自函数调用上,可能是程序重定位时产生的错误,没办法只能动态调试了。

动调验证MEMORY爆红原因

我想知道为什么会动态调试才出现真实的地址,找到存放地址的变量去下一个断点:
RWhackA远程线程注入式病毒分析(H&NCTF2024)
下个读写断点:
RWhackA远程线程注入式病毒分析(H&NCTF2024)
再去看是被哪个函数写入的值。
RWhackA远程线程注入式病毒分析(H&NCTF2024)
成功找到!
RWhackA远程线程注入式病毒分析(H&NCTF2024)
毫无疑问这个正确的地址是由保护器Enigma Virtual Box动态写入的。
RWhackA远程线程注入式病毒分析(H&NCTF2024)
发现存在一个非官方库的dll文件,猜这其实是题目要给的附件只是被打包进了exe!

动调DLL文件的Local_Hide函数

继续动态调试,成功加载出myDLL1.dll文件,直接用ida插件dump出来:
v3 = (kernel32_LoadLibraryW)(L"myDLL1.dll", argv, envp);// 成功加载出myDLL1.dll文件,直接用ida插件dump出来




成功:


RWhackA远程线程注入式病毒分析(H&NCTF2024)


剩下的就是动态调试dll文件里面的函数了!




int LocalHide()

{

char Src[304]; // [rsp+20h] [rbp-E0h] BYREF

char Command[304]; // [rsp+150h] [rbp+50h] BYREF

char FileName[304]; // [rsp+280h] [rbp+180h] BYREF

CHAR Filename[304]; // [rsp+3B0h] [rbp+2B0h] BYREF

CHAR Buffer[256]; // [rsp+4E0h] [rbp+3E0h] BYREF

char v6[10240]; // [rsp+5E0h] [rbp+4E0h] BYREF

DWORD pcbBuffer; // [rsp+2DF0h] [rbp+2CF0h] BYREF

FILE *Stream; // [rsp+2DF8h] [rbp+2CF8h] BYREF


memset(v6, 0, sizeof(v6));

memset(Command, 0, 0x12Cui64);

memset(Filename, 0, 0x12Cui64);

memset(Src, 0, 0x12Cui64);

memset(FileName, 0, 0x12Cui64);

memset(Buffer, 0, sizeof(Buffer));

pcbBuffer = 256;

GetUserNameA(Buffer, &pcbBuffer); // 获取当前用户名

stdio_common_vsprintf_s(v6, "C:\Users\%s\Videos", Buffer);

stdio_common_vsprintf_s_0(Src, "%s\svchsst.exe");// 拼接出文件路径

GetModuleFileNameA(0i64, Filename, 0x104u);

stdio_common_vsprintf_s_0(FileName, "%s\9434d49b-56e1-34d4-9434-0245943434d4.txt");

Stream = fopen(FileName, "r");

if ( !Stream ) // 在主程序中由于文件不存在导致打开失败

{

fopen(FileName, "r"); // 打开文件会失败,C:UsersBrinmonVideos9434d49b-56e1-34d4-9434-0245943434d4.txt

ModifyAndRenameFile(Src, "txt", 0); // 将src的路径后缀改名

CopyFileContent(Filename, Src); // 将主exe复制一份名为svchsst.txt的文本文件

ModifyAndRenameFile(Src, "exe", 1); // 目录出现exe,修改文件明

stdio_common_vsprintf_s_0(Command, "start %s");// 拼接出命令start svchsst.exe

system(Command); // 运行完之后会出现一个svchsst.txt

Stream = 0i64;

fopen_s(&Stream, FileName, "w");

fwrite(Filename, 0x12Cui64, 1ui64, Stream); // 写入主文件路径到txt文本:C:UsersBrinmonDesktop隐藏的眼睛RwHackA - 副本.exe

fclose(Stream);

puts("退出n");

exit(0);

}

printf("身在此山中n");

memset(Src, 0, 0x12Cui64);

fgets(Src, 300, Stream); // 读取文本信息,得到主程序的位置C:UsersBrinmonDesktop隐藏的眼睛RwHackA - 副本.exe

fclose(Stream);

stdio_common_vsprintf_s_0(Command, "del %s"); // del C:UsersBrinmonDesktop隐藏的眼睛RwHackA - 副本.exe

system(Command);

stdio_common_vsprintf_s_0(Command, "del %s"); // del C:UsersBrinmonVideos9434d49b-56e1-34d4-9434-0245943434d4.txt

return system(Command);

}






这段代码的逻辑:


文件有三个:原程序、svchsst.exe、9434d49b-56e1-34d4-9434-0245943434d4.txt


◆原程序打开txt文件失败,复制其本身到视频文件夹下的svchsst.exe副本中,并启动它,完成后将自身路径写入txt文件中并结束自身运行。


◆副本启动后检测到了txt文件,删除掉了txt文件和原文件,并继续后面的执行过程。


继续分析main函数,发现虚拟机检测(CPU数量检查)


继续分析main函数:


RWhackA远程线程注入式病毒分析(H&NCTF2024)


这里会检测程序是否运行再虚拟机上!




void __noreturn sub_140001070()

{

__int64 len; // rdx

char v1[304]; // [rsp+20h] [rbp-498h] BYREF

char vscCode[304]; // [rsp+150h] [rbp-368h] BYREF

char v3[304]; // [rsp+280h] [rbp-238h] BYREF

char v4[264]; // [rsp+3B0h] [rbp-108h] BYREF

int v5; // [rsp+4C0h] [rbp+8h] BYREF

__int64 v6; // [rsp+4C8h] [rbp+10h] BYREF


memeset();

v5 = 256;

(advapi32_GetUserNameA)(v4, &v5);

memeset();

memeset();

(kernel32_GetModuleFileNameA)(0i64, v1, 260i64);

stdio_common_vsprintf_s(v3, "C:\Users\%s\Pictures\WindowsRun.bat", v4);

v6 = 0i64;

(ucrtbase_fopen_s)(&v6, v3, "w");

memeset();

stdio_common_vsprintf_s(

vscCode,

"if "%%1"=="hide" goto CmdBeginn"

"start mshta vbscript:createobject("wscript.shell").run("""%%~0"" hide",0)(window.close)&&exitn"

":CmdBeginn"

"del %s",

v1);

len = -1i64;

do

++len;

while ( vscCode[len] );

(ucrtbase_fwrite)(vscCode, len, 1i64, v6);

(ucrtbase_fclose)(v6);

stdio_common_vsprintf_s(v1, "start %s", v3);

(ucrtbase_system)(v1);

ucrtbase_exit(0i64);

}






这段代码的主要逻辑就是运行vbs代码删除文件!



发现这段vbs的作用就是用来删除文件和隐藏窗口的!




if "%1"=="hide" goto CmdBegin

start mshta vbscript:createobject("wscript.shell").run("""%~0"" hide",0)(window.close)&&exit

:CmdBegin

del C:UsersBrinmonDesktop隐藏的眼睛RwHackA - 副本.exe






批处理文件首先检查是否有参数传递。如果没有参数,它使用mshta命令重新运行自己,并传递hide参数,同时隐藏窗口。然后在重新运行时,由于有了hide参数,实际的批处理文件逻辑开始执行。


继续分析又发现虚拟机检测(进程快照检查)




//使用 CreateToolhelp32Snapshot() 函数获取当前进程的进程快照

Toolhelp32Snapshot = kernel32_CreateToolhelp32Snapshot(2i64, 0i64);

//如果获取快照失败,打印错误码

if ( Toolhelp32Snapshot == -1 )

{

v7 = (kernel32_GetLastError)();

printf("CreateToolhelp32Snapshot:%dn", v7);

}

// 初始化 PROCESSENTRY32W 结构体

v51[0] = 568;

//使用 Process32FirstW() 函数遍历进程快照

if ( (kernel32_Process32FirstW)(Toolhelp32Snapshot, v51) )

{

//定义一些字符串,用于检查进程名是否包含这些字符串

v40 = "Vmtoolsd.exe";

v41 = "Vmwaretrat.exe";

v42 = "Vmwareuser.exe";

v43 = "Vmacthlp.exe";

v44 = "vboxservice.exe";

v45 = "vboxtray.exe";

do

{

memeset();

//将进程名从宽字符转换为多字节字符串

(kernel32_WideCharToMultiByte)(0i64, 0i64, v52, 0xFFFFFFFFi64, v50, 260, 0i64, 0i64, v40, v41, v42, v43, v44, v45);

//检查进程名是否包含虚拟机相关的字符串

for ( i = 0i64; i < 6; ++i )

{

v10 = (&v40)[i];

v11 = (v50 - v10);

do

{

v12 = v11[v10];

v13 = *v10 - v12;

if ( v13 )

break;

++v10;

}

while ( v12 );

if ( !v13 )

{

printf("为虚拟机exen");

sub_140001070();

}

}

}

//继续遍历下一个进程

while ( (kernel32_Process32NextW)(Toolhelp32Snapshot, v51) );

}

else

{

//如果 Process32FirstW() 函数失败,打印错误码

v8 = (kernel32_GetLastError)();

printf("Process32First:%dn", v8);

}

printf("为实体机n");






这段代码通过遍历进程查找电脑中是否存在vm必备进程!来检查是否是虚拟机!




v40 = "Vmtoolsd.exe";

v41 = "Vmwaretrat.exe";

v42 = "Vmwareuser.exe";

v43 = "Vmacthlp.exe";

v44 = "vboxservice.exe";

v45 = "vboxtray.exe";






遍历PCB进程块查找特定模块


直接手动绕过前面的虚拟机检查就来到了下面代码的位置!




// 获取当前进程的环境块(PEB)

Blink = NtCurrentPeb()->Ldr->InLoadOrderModuleList.Blink;

// 初始化链表遍历指针v16为链表头部

v16 = Blink;

// 遍历模块链表

do

{

// 移动到下一个模块

v16 = v16->Flink;


// 检查当前模块是否有模块名称

if (v16[3].Flink)

{

// 提取模块名称并存储在v46数组中

Flink = v16[6].Flink;

for (j = 0i64; *Flink; v46[j++] = v19)

{

// 最多只处理63个字符

if (j >= 0x3F)

break;

v19 = *Flink;//字节存储在v19中

Flink += 2;//移动两个字节

}

v46[j] = 0; // 添加字符串结束符


// 将模块名称转换为小写

v20 = (user32_CharLowerA)(v46);


// 计算模块名称哈希值

v21 = 53;

v22 = -1i64;

v14 = v20;

do

++v22;

while (*(v20 + v22));

v23 = 0;

if (v22)

{

do

{

v24 = *v14;

++v23;

++v14;

v21 = v24 + 3 * v21;

}

while (v23 < v22);

// 检查哈希值是否匹配目标值0x037C0B5E

if (v21 == 0x037C0B5E)

break;

}

}

}

// 循环直到遍历完整个模块链表

while (Blink != v16);






遍历程序的所有模块来寻找特点hash值的模块,我们直接下个断点再来看看它找的是哪个模块!


RWhackA远程线程注入式病毒分析(H&NCTF2024)


再去看地址发现找到了kernel32。


RWhackA远程线程注入式病毒分析(H&NCTF2024)


解决了这段代码就来学习一下这个结构体(结构体来至chatgpt)。




typedef struct _LDR_DATA_TABLE_ENTRY {

LIST_ENTRY InLoadOrderLinks;

LIST_ENTRY InMemoryOrderLinks;

LIST_ENTRY InInitializationOrderLinks;

PVOID DllBase;

PVOID EntryPoint;

ULONG SizeOfImage;

UNICODE_STRING FullDllName;

UNICODE_STRING BaseDllName;

ULONG Flags;

USHORT LoadCount;

USHORT TlsIndex;

union {

LIST_ENTRY HashLinks;

struct {

PVOID SectionPointer;

ULONG CheckSum;

};

};

union {

struct {

ULONG TimeDateStamp;

};

struct {

PVOID LoadedImports;

};

};

PVOID EntryPointActivationContext;

PVOID PatchInformation;

LIST_ENTRY ForwarderLinks;

LIST_ENTRY ServiceTagList;

LIST_ENTRY StaticLinks;

PVOID ContextInformation;

ULONG_PTR OriginalBase;

LARGE_INTEGER LoadTime;

} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;






检查系统中是否存在某些安全软件或者虚拟机相关的进程


继续向下分析。




// 获取kernel32.dll中GetModuleHandleA函数的地址

qword_1400050C8 = (sub_140001230)(v25, 4038080516i64, v14);


// 获取kernel32.dll中GetProcAddress函数的地址

qword_1400050C0 = (sub_140001230)(v25, 448915681i64, v26);


// 获取kernel32.dll的模块句柄

qword_1400050B8 = qword_1400050C8("kernel32.dll");


// 获取ADVAPI32.dll的模块句柄

qword_1400050D0 = qword_1400050C8("ADVAPI32.dll");


// 获取ntdll.dll的模块句柄

v27 = qword_1400050C8("ntdll.dll");


// 设置 VerSetConditionMask 的参数

LOBYTE(v28) = 3;

v29 = v27;

v30 = (ntdll_VerSetConditionMask)(0i64, 2i64, v28);

LOBYTE(v31) = 3;

v32 = (ntdll_VerSetConditionMask)(v30, 1i64, v31);

LOBYTE(v33) = 3;

(ntdll_VerSetConditionMask)(v32, 4i64, v33);


// 尝试获取 ntdll.dll 中 RtlGetVersion 函数的地址

if (v29)

{

v34 = kernel32_GetProcAddress(v29, "RtlGetVersion");

if (v34)

{

// 调用 RtlGetVersion 函数获取系统版本信息

memeset();

v48[0] = 284;

if (!v34(v48))

{

// 根据系统版本信息打印相应的信息

if (v48[1] == 6 && v48[2] == 1)

{

printf("Windows 7n");

}

else

{

printf("其他版本n");

// 获取进程快照

v35 = kernel32_CreateToolhelp32Snapshot(2i64, 0i64);

if (v35 == -1)

{

v36 = (kernel32_GetLastError)();

printf("CreateToolhelp32Snapshot:%dn", v36);

}

// 遍历进程快照

v53[0] = 568;

if ((kernel32_Process32FirstW)(v35, v53))

{

LABEL_34:

memeset();

(kernel32_WideCharToMultiByte)(0i64, 0i64, v54, 0xFFFFFFFFi64, v49, 260, 0i64, 0i64);

v38 = 0;

// 检查是否存在"ZhuDongFangYu.exe"和"360Tray.exe"进程

if (ucrtbase_strcmp("ZhuDongFangYu.exe", v49))

{

while (ucrtbase_strcmp("360Tray.exe", v49))

{

if (++v38 >= 6)

{

if ((kernel32_Process32NextW)(v35, v53))

goto LABEL_34;

goto LABEL_40;

}

}

}

printf("检测到360。。。。n");

v5 = 1;

}

else

{

v37 = (kernel32_GetLastError)();

printf("Process32First:%dn", v37);

}

LABEL_40:

printf("%dn", v5);

}

sub_140001320();

}

}

}

return 0;






这段代码的核心函数就是sub_140001320();,前面查找"ZhuDongFangYu.exe" 和 "360Tray.exe" 这两个进程并不会阻止程序的运行!他还会检测计算机所使用的操作系统!


RtlGetVersion 函数所返回的结构体:




typedef struct _OSVERSIONINFOEXW {

ULONG dwOSVersionInfoSize;

ULONG dwMajorVersion;

ULONG dwMinorVersion;

ULONG dwBuildNumber;

ULONG dwPlatformId;

WCHAR szCSDVersion[128];

USHORT wServicePackMajor;

USHORT wServicePackMinor;

USHORT wSuiteMask;

BYTE wProductType;

BYTE wReserved;

} OSVERSIONINFOEXW, *POSVERSIONINFOEXW, *LPOSVERSIONINFOEXW;






分析最终flag隐藏的位置sub_140001320()


解析一下代码:




// 加载 XMM 寄存器

si128 = _mm_load_si128(xmmword_140003A20);


// 获取 Windows API 函数的地址

OpenProcess = kernel32_GetProcAddress(KERNEL32Moudle, "OpenProcess");

VirtualAllocEx = kernel32_GetProcAddress(KERNEL32Moudle, "VirtualAllocEx");

WriteProcessMemory = kernel32_GetProcAddress(KERNEL32Moudle, "WriteProcessMemory");

CreateRemoteThread = kernel32_GetProcAddress(KERNEL32Moudle, "CreateRemoteThread");


// 初始化指针变量

v3 = &v41;

v4 = &unk_140003450;

v5 = 7i64;


// 循环复制数据

do {

v3 += 32;

v6 = *v4;

v7 = v4[1];

v4 += 8;

*(v3 - 8) = v6;

v8 = *(v4 - 6);

*(v3 - 7) = v7;

v9 = *(v4 - 5);

*(v3 - 6) = v8;

// 省略剩余赋值操作

--v5;

} while (v5);


// 继续复制数据

v14 = *(v4 + 4);

v15 = 6;

v16 = -1162190778i64;

v17 = 1i64;

*v3 = *v4;

v3[4] = v14;


// 循环进行数据变换

do {

v18 = 227i64;

v19 = &v45;

v20 = 227;

v21 = &v44;

do {

v22 = *v21;

v21 -= 4;

v19 -= 4;

v23 = *(&v41 + (v20 + 1) % 0xBu);

v24 = v17 ^ v18-- & 3;

*(v19 + 1) -= ((v23 ^ v16) + (si128.m128i_i32[v24] ^ v22)) ^ (((v22 >> 6) ^ (4 * v23)) + ((16 * v22) ^ (v23 >> 3)));

--v20;

} while (v20);

v25 = v42 ^ v16;

v16 -= 1953785185i64;

v41 -= (v25 + (si128.m128i_i32[v17] ^ v43)) ^ (((v43 >> 6) ^ (4 * v42)) + ((16 * v43) ^ (v42 >> 3)));

v17 = (v16 >> 2) & 3;

--v15;

} while (v15);


// 输出处理后的数据

v26 = &v41;

for (i = 0; i < 0x393; ++i)

printf("%c ", *v26++);


// 枚举系统中的进程

Toolhelp32Snapshot = kernel32_CreateToolhelp32Snapshot(2i64, 0i64);

if (Toolhelp32Snapshot == -1) {

v29 = (kernel32_GetLastError)();

printf("CreateToolhelp32Snapshot:%dn", v29);

}

v46[0] = 568;

if ((kernel32_Process32FirstW)(Toolhelp32Snapshot, v46)) {

// 查找 "exp10rer.exe" 进程

while (true) {

v39 = -1i64;

do {

if (*(&v46[11] + v39 + 1) != aExp10rerExe[v39 + 1])

break;

v39 += 2i64;

if (v39 == 13) {

v31 = v46[2];

goto LABEL_14;

}

} while (*(&v46[11] + v39) == aExp10rerExe[v39]);

if ((kernel32_Process32NextW)(Toolhelp32Snapshot, v46))

continue;

break;

}

} else {

v30 = (kernel32_GetLastError)();

printf("Process32First:%dn", v30);

}

//程序如果未找到目标程序exp10rer.exe,就会将CreateRemoteThread复制给v31

v31 = CreateRemoteThread;

LABEL_14:

printf("inject process pid: %dn", v31);


// 注入代码到目标进程

v32 = OpenProcess(0x1FFFFFi64, 0i64, v31);

v33 = (kernel32_GetLastError)();

printf("OpenProcess:%dn", v33);

v34 = VirtualAllocEx(v32, 0i64, 916i64, 12288i64, 64);

v35 = (kernel32_GetLastError)();

printf("VirtualAllocEx:%dn", v35);

WriteProcessMemory(v32, v34, &v41, 916i64, 0i64);

v36 = (kernel32_GetLastError)();

printf("WriteProcessMemory:%dn", v36);

CreateRemoteThread(v32, 0i64, 0i64, v34, 0i64, 0, 0i64);

v37 = (kernel32_GetLastError)();

return printf("CreateRemoteThread:%dn", v37);






这段代码的主要功能是:


1.加载一些 Windows API 函数的地址。


2.从内存中读取并处理一些数据。


3.枚举系统中正在运行的进程,并找到名为 "exp10rer.exe" 的进程。


4.将处理后的数据注入到目标进程的内存中。


5.在目标进程中创建一个新的远程线程,并执行注入的代码。

但是电脑中并没有这个程序或进程exp10rer.exe,这个进程大概率在源码中是存在的但是被本题魔改掉了,因为这是ctf比赛,写成这样已经将整个病毒架构写出来了!


分析最终注入其他程序的shellcode




// 输出处理后的数据

v26 = &v41;

for (i = 0; i < 0x393; ++i)

printf("%c ", *v26++);






这段代码会输出最终的shellcode,也就是我们最终要分析的目标!直接在这个位置下个断点,dump一下数据就好了。


RWhackA远程线程注入式病毒分析(H&NCTF2024)


利用idapython将数据dump出来。




from ida_bytes import get_bytes, patch_bytes

with open('dump', 'wb') as f:

f.write(idaapi.get_bytes(0x5FF060, 0x393))






将内存dump出来之后就直接拖入ida看看这段shellcode的作用,当然也可以直接在ida里将shellcode转为指令直接分析不需要dump。


RWhackA远程线程注入式病毒分析(H&NCTF2024)


但是我还是dump出来更加清晰:



在shellcode的最后就隐藏这flag:


RWhackA远程线程注入式病毒分析(H&NCTF2024)








RWhackA远程线程注入式病毒分析(H&NCTF2024)






看雪ID:Loserme


https://bbs.kanxue.com/user-home-944427.htm












*本文为看雪论坛优秀文章,由 Loserme 原创,转载请注明来自看雪社区


















 


原文始发于微信公众号(看雪学苑):RWhackA远程线程注入式病毒分析(H&NCTF2024)


 






















 


 



    

  • 
左青龙

    • 

  • 微信扫一扫
    • 

  • 
weinxin

    • 



    

  • 
右白虎

    • 

  • 微信扫一扫
    • 

  • 
weinxin

    • 
























admin 
    

  • 本文由  发表于 2024年6月27日21:07:00
    • 

  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  
RWhackA远程线程注入式病毒分析(H&NCTF2024)https://cn-sec.com/archives/2893176.html

    • 














 











 















发表评论

匿名网友
填写信息