大灰狼远控木马分析 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770593

飞翔币: 207694

威望: 215657

飞扬币: 2511651

信誉值: 8

只看楼主更多操作 0 发表于: 2022-06-01

样本信息：文件: C:Users15PBDesktopSB360.exe大小: 40960 bytes修改时间: 2020年5月17日, 14:36:36MD5: 0902B9FF0EAE8584921F70D12AE7B391SHA1: F71B9183E035E7F0039961B0AC750010808EBB01CRC32: 378E90E3利用die查看程序没有保护壳，可以利用ida进行分析。直接查看程序入口函数，发现程序不断调用Sleep函数来干扰杀毒软件。然后通过解密函数对配置信息进行解密解密函数的分析，通过rc4算法解密首先根据解密后的配置信息决定启动方式，直接启动，通过服务启动，修改注册表SOFTWARWE\Microsoft\Windows\CurrentVersion\Run开机启动，然后读取并保存注册表信息，最后进入真正的入口函数。入口函数：occupy_file函数：病毒根据配置信息决定是否以独占方式运行，是病毒无法被删除通过AdjustTokenPrivileges提权通过OpenProcess打开System进程通过CreatFile打开独占大文件句柄通过DuplicateHandle将文件举报复制到System进程中通过Socket_main函数进入和服务器通信的流程connect_server函数：recv_proc回调函数：接下来初始化socket，创建一个线程，循环接受从远程主控端发来的数据远控功能：先从远程服务器下载插件动态链接库，然后动态申请内存，模拟pe装载流程，将恶意代码加载到内存，通过模拟GetProcAddress调用动态链接库的导出函数。病毒对动态链接库文件格式做了加密，修改pe前两个字节，将前两个字节修改为MZ，用ida进行分析。语音监控：使用Windows波音音频API实现录音功能DDOS攻击：会开启一个线程循环向指定服务器发送攻击数据包查看磁盘目录：使用GetLogicalDriveStrings获取当前所有驱动器根路径的剩余空间键盘记录：创建一个线程，循环使用GetKeyState，GetAsyncKeyState API循环遍历所有键盘的虚拟键状态，如果状态为按下，就将按键信息保存到文件中。检查窗口：通过EnumWindows遍历所有窗口，检查指定的窗口是否存在进程窗口管理：通过进程快照遍历进程，通过EnumProcessModules函数获取进程的模块信息打开网页：通过注册表路径HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand获取浏览器的路径，最后通过CreateProcessA创建浏览器进程，打开主控端传递的URL地址。