華盟信安老師直接接聽

400-029-09** 400-029-0997 轉(zhuǎn) 138736
查看完整號碼
掃碼撥號
微信掃碼撥號

從網(wǎng)上下載的安全研究工具,別亂點

來源:安全分析與研究 2022/10/25 14:21:32

從網(wǎng)上下載的安全研究工具,別亂點

前言

前天筆者微信群里有個朋友發(fā)了一段聊天記錄,說是有一個ShellCodeLoader工具好像是CS木馬,如下:


筆者本來想從GitHub下載樣本研究一下,發(fā)現(xiàn)鏈接已經(jīng)失效了,于是找群里的朋友要了樣本,就給大家簡單分析一下,對一些好玩的樣本,筆者一直本著“不放過”的研究態(tài)度,就當好玩吧,其實做安全也就是好玩。

分析

拿到樣本之后,發(fā)現(xiàn)包含兩個程序:LoaderMaker.exe和ShellcodeLoader.exe,如下所示:

樣本的編譯時間為2022年10月8日,如下所示:

運行LoaderMaker.exe之后,提示輸入相關(guān)的參數(shù),生成ShellCodeLoader程序,如下所示:

筆者使用msfvenom工具生成一個彈計算機的shellcode.bin文件,然后通過參數(shù),再次執(zhí)行LoaderMaker.exe程序,如下所示:

這個工具給筆者生成了一個Loader.exe的加載程序,運行生成的Loader.exe程序,看看會不會彈計算機,果然彈出了計算機,如下所示:

我們先來看看這個工具是如何幫助筆者生成這個Loader.exe程序的吧。

1.打印命令行提示符,進程提權(quán)操作,如下所示:

2.讀取shellcode.bin的數(shù)據(jù)到內(nèi)存中,如下所示:

3.對shellcode.bin的數(shù)據(jù)進行加密處理,如下所示:

4.讀取同目錄下的ShellcodeLoader.exe的數(shù)據(jù)到內(nèi)存中,如下所示:

5.在內(nèi)存中拼接數(shù)據(jù),然后生成Loader.exe程序,如下所示:

6.將此前拼接的內(nèi)存數(shù)據(jù),寫入到生成的Loader.exe程序,如下所示:

到此Loader.exe程序就生成完成了,好像看起來感覺沒啥問題呀,但是仔細分析就會發(fā)現(xiàn)問題,它的打印函數(shù)功能好像不簡單哦?我們來看它里面深藏的一段代碼邏輯,如下所示:

一個全局變量,判斷它是不是等于6,如果等于6就會執(zhí)行下面的惡意函數(shù),如果不等于6,就執(zhí)行加1的功能,其實就是在打印出6個字符串之后,就會執(zhí)行隱藏的惡意函數(shù)操作,也就是聊天記錄中說的“只要一生成,就會注入進程”,原來如此,正好程序在生成之前會執(zhí)行六次打印操作,這操作有點“意思”!下面我們來重點看看這個惡意函數(shù)的功能吧。

1.最后一次打印操作之后,全局變量等于6,不會執(zhí)行跳轉(zhuǎn)操作,進入惡意函數(shù),如下所示:

2.進入之后,如下所示:

3.遍歷進程,查找explorer.exe進程,如下所示:

4.通過GetNativeSystemInfo或GetSystemInfo獲取操作系統(tǒng)版本,判斷是否為64位的操作系統(tǒng),如果不是64位操作系統(tǒng),則退出,如下所示:

退出函數(shù)的代碼,如下所示:

5.讀取程序中的數(shù)據(jù),進行解密,如下所示:

6.解密之后的數(shù)據(jù)就是一段惡意ShellCode代碼,如下所示:

7.將上面生成的ShellCode惡意代碼注入到explorer.exe進程中,如下所示:

8.注入之后explorer.exe進程

ShellCode代碼執(zhí)行之后,會連接遠程服務器進行后面的操作,遠程服務器域名為:www2.jquery.ink,到此該樣本就分析完了,筆者只是好奇分析了這個樣本,至于其他相關(guān)威脅情報信息讀者自行參考研究吧,不作過多分析。

總結(jié)

給大家簡單分析了一下,筆者再次提醒大家不管是從GitHub等開源網(wǎng)站,還是其他一些非官方下載網(wǎng)站、論壇下載的各種黑客類工具、破解軟件等,一定要提醒自己,多想想,這些工具會不會有啥后門之類?

筆者每天的工作都在與各種各樣的惡意軟件家族打交道,基本上除了吃飯、睡覺、與家人娛樂休閑的時間之外,其它時間都在不停地分析和研究各種各樣的惡意軟件家族最新樣本和新型的家族等,其實大多數(shù)情況下筆者研究惡意軟件完全就是興趣與愛好,一定要搞清楚這些惡意軟件家族的攻擊手法、攻擊技巧以及免殺和逃逸技術(shù)等,所以筆者一直說興趣和愛好是做好安全的首要條件,如果不是真的喜歡做安全,也很難做好安全,更不會全身心的投入到安全當中,要把安全當成自己的事業(yè),全力投入到自己熱愛的事業(yè)當中。

國內(nèi)的網(wǎng)絡安全企業(yè)要走的路還很長,只要持續(xù)走下去,堅定信念,堅定不移,就一定可以能做大做強,一起為祖國的網(wǎng)絡安全事業(yè)貢獻自己的一份力量。

筆者一直從事與惡意軟件威脅情報等相關(guān)安全分析與研究工作,包含挖礦、勒索、遠控后門、僵尸網(wǎng)絡、加載器、APT攻擊樣本、CS木馬、Rootkit后門木馬等,涉及到多種不同的平臺(Windows/Linux/Mac/Android/iOS),筆者做安全研究的興趣就是喜歡研究一些最新的惡意軟件家族樣本,跟蹤國內(nèi)外報道的各種安全事件中涉及到的攻擊樣本等,通過詳細分析各種安全攻擊事件中涉及的樣本、漏洞和攻擊技巧等,可以了解全球黑客組織最新的攻擊技術(shù)以及攻擊活動趨勢等,同時還可以推判出他們大概準備做什么,發(fā)起哪些攻擊活動,以及客戶可能會受到什么危害等,通過研究全球的黑客組織以及攻擊活動,做到知已知彼,各位讀者朋友如果有遇到什么新的惡意軟件家族樣本或最新的家族變種都可以私信發(fā)給筆者,感謝給筆者提供樣本的朋友們!


添加微信咨詢
乾行老師 @華盟信安學校

專業(yè)解答各類課程問題、介紹師資和學校情況

微信號:B-P******er

立即咨詢

“華盟信安學?!笔菨鲜腥A盟信安職業(yè)技能培訓學校有限公司在教育寶平臺開設的店鋪,若該店鋪內(nèi)信息涉嫌虛假或違法,請點擊這里向教育寶反饋,我們將及時進行處理。

機構(gòu)評分

環(huán)境:4.0師資:4.0服務:4.0效果:4.0

公示信息

店鋪名稱:華盟信安學校

單位名稱:濟南市華盟信安職業(yè)技能培訓學校有限公司

賬號名稱:jnhmxa(156******54)

所屬城市:山東濟南

入駐時長:8年

在線客服:在線聊

微信咨詢

返回頂部