【木马分析】vshell木马分析 - 〖系统安全〗

z3960

级别: FLY版主

发帖: 842650

飞翔币: 121281

威望: 325882

飞扬币: 3797271

信誉值: 8

只看楼主更多操作 0 发表于: 08-11

前言

搬运一下自己博客文章，分享一下，其实里面还有很多细节，特别是TEB和PEB通过hash查询函数的方法，我还是有点云里雾里，只知道个大概，而且没成功复现过，有兴趣的大佬可以指点一下要是有理解错的地方也请指出原文地址：https://cz.caozhexxgweb.cn/?id=139

今天来分析一下这个vshll的shellcode加载器，首先我们导出bin，文件本地很小只有1kb，

因为是汇编，所以直接拖入ida查看即可

入口

因为是shellcode，所以代码先保存了寄存器和空间 复制代码 隐藏代码push r.. × 8 保存所有通用寄存器，防止被后续破坏。lea rbp,[rsp-0x298]sub rsp,0x398 在原来栈顶以下再开 0x398 字节的大栈帧。后面所有局部变量/拼字符串都放这里。

sub_45C函数

先说一下，这函数主要是通过函数hash来查找出这个函数的虚拟地址，这里的726774Ch就是kernel32.dll里的LoadLibraryA。

我们进去sub_45C函数，想按F5发现F5大法失败了，说是要设置语言但实际不行，可能出bug了，只能硬着头皮看汇编了

起始部分

复制代码 隐藏代码mov rax, rsp 暂存当前栈顶地址到 RAX，方便直接在红区里写数据。mov [rax+8], rbxmov [rax+10h], rbpmov [rax+18h], rsimov [rax+20h], rdi 把调用的 4 个寄存器存在栈指针下方的红区（未改变RSP他就bu不保存了）。看样子是比平时一个个 push 更快。（其实我也不知道这样的设计的意义是什么）push r14 额外保存 R14（后面要当循环计数器）。sub rsp, 10h 腾出 0x10 字节的局部变量区，IDA 叫 var_18。

起始后的栈指针

[tr=rgb(246, 248, 250)][td]var_18 (16 B)

内容	栈指针
存的 rbx/rbp/rsi/rdi	← RSP+0x0
← RSP-0x10
保存的 r14	← RSP-0x18

取得 PEB 与第一模块（重点）

从刚刚开始我就一直好奇一个事情，就是我们可以看到这个exe的导入表都是空，那么怎么执行外部函数的呢

这里简单带一下TEB和PEB的知识（网上都有）

主要是我不知道mov rax, qword ptr gs:loc_5C+4是什么查了一下才豁然开朗。

TEBTEB是每个线程都有，保存 TLS、异常链、自旋计数等纯线程级信息。通过 GS（x64）或 FS（x86）直接寻址。

PEB

每个进程 1 份，被所有线程共享。字段很多，但最常用的是：
PEB->Ldr → PEB_LDR_DATA：维护已加载模块链表。
PEB->ProcessParameters：命令行、环境变量。
指向主进程堆、TLS 位图、异常处理列表、调试标志

也就是说他这里只要拿到 PEB，不调用任何 WinAPI 就能做到下面的操作：

枚举出 kernel32.dll、ntdll.dll 等在内存中的真实基址；
解析它们的导出表，手动拿到 LoadLibraryA、GetProcAddress 等地址；
进而做到免IAT、免明文字符串免API调用监控，做到免杀的效果。（但这个木马已经被杀烂了）

==下面借用一下别人的说明==

Windows 每个进程的 PEB（Process Environment Block）中有一个字段 PEB->Ldr。
Ldr 里有三条双向链表：
InLoadOrderModuleList
InMemoryOrderModuleList　← 本函数用的
InInitializationOrderModuleList

每个节点不是简单结构，而是大号 LDR_DATA_TABLE_ENTRY，里面既有链表指针，也记录 DLL 的各种信息。
重要偏移（Win10 x64 常见布局）：[tr=rgb(246, 248, 250)][td]DllBase

字段	偏移	作用
InMemoryOrderLinks	0x20	当前链表的 LIST_ENTRY
0x30	模块基址（HMODULE）
BaseDllName	0x58	UNICODE_STRING，DLL 文件名（不含路径）

InMemoryOrderModuleList 是循环链表：最后一个节点再指向 Ldr 里的头结点哑元；哑元的 DllBase 字段恒为 0。
==上面借用一下别人的说明==

我们继续看代码 复制代码 隐藏代码; 获取 PEBmov rax, gs:[0x60] ; TEB → PEB （= qword ptr gs:loc_5C+4）; 保存调用参数mov ebp, ecx ; 把目标哈希存进 EBP，后面循环都要用; 计数寄存器清零xor r14d, r14d ; r14d = 0，既代表“false”也当循环计数起点; 走到 Ldr 模块链表mov rdx, [rax+0x18] ; RDX = PEB->Ldrmov r8, [rdx+0x10] ; R8 = Ldr->InMemoryOrderModuleList.Flink ; （链表第 1 个 LDR_DATA_TABLE_ENTRY）
接下去的代码就是不断循环查找链表然后计算hash是否和入参一致（忽然发现F5大法恢复了，瞬间舒服了）

一共有两个return
return 0就说明已把所有模块都扫完，都没有这个函数，然后返回说明错误了cmp [r8+30h], r14 → jz loc_54C这边做的比较然后跳到loc_54C把EAX置0
return v6，也就是循环的下一个模块的基址，v6在循环的时候就被定义了。

复制代码 隐藏代码; 0x0495 外层循环取模块基址mov r9, [r8+30h] ; R9 ← DllBase → v6 = v5[6]; 0x0519 函数名哈希命中后lea eax, [rbx+rdx]cmp eax, ebpjz loc_52E ; 跳到构造返回值; 0x052E 计算最终地址mov eax, [r10+24h] ; AddressOfNameOrdinalsadd rax, r9 ; ↑ 这里 r9 仍为 DLL 基址…mov eax, [rcx+rdx*4] ; Function RVAadd rax, r9 ; RAX = r9 + RVA → 返回

获取函数基指

了解了sub_45C我们看看很清楚了，他获取了一堆函数，然后吧基指放在了rbp中，有的也直接放在了r13、r15等寄存器里 复制代码 隐藏代码mov ecx, <hash>call sub_45Cmov <某寄存器/栈>, rax

对照后续调用可以推断出大致映射（~~直接问ai了~~）：[tr=rgb(246, 248, 250)][td]r13[tr=rgb(246, 248, 250)][td]rdi[tr=rgb(246, 248, 250)][td][rbp-20h][tr=rgb(246, 248, 250)][td]r14

保存位置	真实 API	用途
rbx（第二次）	socket/WSASocketA	创建 TCP socket
connect	连接远程主机
rsi	setsockopt 或 select	调整 sock 参数
send	发送握手数据
r15	recv	下载主体数据
VirtualAlloc	申请可执行内存
[rbp-18h]	closesocket	收尾清理
sprintf / _snprintf	字符串拼装
…	（其余为 Sleep、GetVersion, VirtualProtect 等）

调用部分

准备回连

最后将调用获取函数

上报

下面调用了很多次的rdi也就是发送送握手数据，来发送设备的识别码[rbp-80h] = 0x20343677 → "w64 4"；紧跟空格和 0 组成 w64 64。告诉 C2 这是 Windows-64 位客户端。

加载大马

最后就是加载大马的部分

木马整体流程

到这里整体流程已经被摸清楚了