上次讲到此木马在内存里有个加密的pe文件存在,接下来我们就来讲解这个从内存里扣出来的pe文件到底怎么工作的。
在入口点,通过hash对比去查找ntdll.dll,kernel32.dll的模块句柄,而不是通过我们常用的方法GetMoudleHanlde()的方法去获取句柄,
看看serverlog_search_moudle这个函数的实现,在函数内部使用了[[[FS:[30]+0xc]+0xc]+0×30]的方法去获取模块的名字,在ring3层FS寄存器指向的是线程环境块,0×30的偏移即指向PEB(进程环境块),PEB的0xc就是指向LDR表,后面的偏移就是从LDR表中获取模块的BaseName,计算相应的hash对比去从LDR表中获取模块的句柄。
获取了模块首地址后,通过解密.data节段的加密导入表来获取相应的函数地址
下面是获取到的ntdll的对应函数表
下面是获取的kernel32的对应函数表
接下来就进入了init初始化的工作
首先会创建一个事件加一个互斥体
当这个mutex互斥体之前不存在时会再次把自身进程启动一遍,如果互斥体存在就进入的工作的函数里,这样也是为了多进程的方式。当进入工作函数server_get_info_and_timer时,就表示木马已经开始真正的工作了。工作初期木马会再次获取他所需的函数表,方式类似之前不再赘诉,他要获取advapi32.dll、ole32.dll、shell32.dll、crypt32.dll、urlmon.dll、wininet.dll的所需函数,如下:
然后木马会获取windows目录,然后计算系统目录所在的磁盘的磁盘id。
接下来就是取当前电脑的电脑+磁盘id的组合,并且根据磁盘id来计算当前电脑所要生成的服务程序的名字。
服务的名字是根据之前磁盘id, 在字符串“agent,app,audio,bio,bits,cache,card,cart,cert,com,
crypt,dcom,defrag,device,dhcp,dns,event,evt,flt,gdi,group,
help,home,host,info,iso,launch,log,logon,lookup,man,math,
mgmt,msi,ncb,net,nv,nvidia,proc,prop,prov,provider,reg,rpc,
screen,search“中计算出对应的字符来填充组合成所要生成的服务名和exe的名字。
得到本木马服务的exe名字后就计算系统目录里的木马exe的crc的值
接下来就是获取电脑名,并且会将电脑中的非0-9、a-z、A-Z的字符替换成X,并且最多只获取16个字符的名字,然后和磁盘id组合起来
接着木马就会使用CreateTimerQueueTimer函数创建一个Timer计时器,
流程就进入了serverlog_posturl_timer函数空间
根据当前的运行状态执行同的逻辑,case 1:时表示木马正准备初始化,然后设置状态为2,定时器执行到case 2:时就会将本木马exe创建成一个windows服务,服务名就是之前计算出来的service_name, 然后设置成状态3,进入case 3:会填充一些IP地址与端口,IP地址和端口直接写死在.data节,可以看到内存里内置了很多IP与端口,0x1BB即433端口,1F90即8080端口
Case 3还会初始化加密上下文
使用的rsa算法,导入了内存里的publickey,0×13即RSA_CSP_PUBLICKEYBLOB
Case 3执行完毕会设置成状态4,下次定时器的时候就进入case 4,case 4会把枚举当前电脑的进程信息,木马的exe的crc,电脑名磁盘id填充到待加密的缓冲区
然后对以上进行加密,再post到服务器的433端口
注意在发送到433之前,木马再一次进行了rsa加密
经过双重加密后,一次自定义加密+一次rsa加密后,使用post的方式发送到服务器的433端口。
然后木马通过InternetReadFile
函数获取服务器的返回结果,通过双重解密,一次rsa解密,外加一次自定义解密后,这个结果会执行各种流程,其中有一个最重要的流程是从远程服务器去下载exe,并且执行。
如果有更新的木马会调用start_download_exe函数去实现自我更新
到此基本上木马所有主要工作流程都已经分析完毕,这个木马隐蔽性很强,内存中不存在任何明文字符串,很难用内存搜索去搜索一些明显字符串,内存的数据都是加密存在需要时才解密,然后立即释放,不会长期驻留在内存,所有的内容计算校验使用的是hash值来对比查找,而且还是用双重加密,给分析人员增加了不小的难度。
1805
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
