恶意代码分析_01上篇:载体代码分析

最新推荐文章于 2024-09-03 16:55:43 发布
最新推荐文章于 2024-09-03 16:55:43 发布
阅读量305 收藏
点赞数
文章标签: 学习 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46143580/article/details/132129471
版权

在这里插入图片描述

1.样本运行概图

在这里插入图片描述
恶意样本将"白加黑"免杀代码打包为iso镜像文件,镜像挂载后只显示一个快捷方式,快捷方式图标为WORD文档图标,快捷方式运行后会启动白文件OneDriveUpdate.exe,由于做了dll劫持,所以会加载运行恶意dll–version.dll,在恶意dll中解密OneDriveUpdate.update生成shellcode,后将解密shellcode做远线程注入到RuntimeBroker.exe进程,shellcode代码中释放自身硬编码的PE文件(dll)到内存,随后动态获取该dll的导出函数并运行,导出函数中做dll反射注入,将自身dll文件加载运行,解密得到C2地址,与控制端进行通信,开展恶意行为。

2.样本信息

2.1 样本指纹信息

名称: a7df3462a6dce565064cfe408557c4df
大小: 4839424 字节 (4726 KiB)
MD5: a7df3462a6dce565064cfe408557c4df
SHA1: 6b91bfc761fe958c8ac04dd403db284ccc3a530e
SHA256: 1fc7b0e1054d54ce8f1de0cc95976081c7a85c7926c03172a3ddaa672690042c

2.2 样本结构略图

在这里插入图片描述

3.恶意代码分析

此样本的分析为上下篇完成,此为上篇文章,主要记录恶意样本载体,下篇记录恶意样本的功能性代码分析。

3.1.快捷方式启动运行

此恶意样本所采用免杀技术为“白加黑+dll劫持”,OneDriveUpdater.exe就是带签名白文件,vresion.dll文件属于原始dll文件(等待被OneDriveUpdater.exe加载),version.dll文件为恶意dll。

1.白加黑免杀:白指出现在杀软的白名单中文件,黑是指恶意代码,利用杀软白名单特性,将黑白文件打包到一起进行投放,在一定程度上绕过杀软的查杀。
在这里插入图片描述

2.dll劫持:程序运行时在指定位置加载自身运行所需dll文件,那么使用恶意dll文件替换原始dll,原始程序运行就会加载恶意dll,同时为了保证程序正常运行,恶意dll需要实现或者做函数转发,让载体程序能正常访问到原始dll文件的函数,避免执行异常引起怀疑。

在这里插入图片描述

3.2 内存解密得到shellcode

在version.dll被加载到OneDriveUpdate.exe进程后,会执行插入的劫持部分代码,主要就是将OneDriveUpdate.Update文件读取到内存,通过于自身硬编码抑或得到解密数据,该数据为一段shellcode。

1.CreateFile->ReadFile 函数组合将文件读取到内存
在这里插入图片描述
2.内存解密OneDriveUpdater.exe文件

在这里插入图片描述

在这里插入图片描述

3.3 注入shellcode到RunTimeBroker.exe进程

使用底层函数调用实现远线程代码注入,将解密出来的shellcode注入到进程RunTimeBroker.exe中运行。与常规远程代码注入不同的是,此恶意代码实现的注入没有调用上层API函数实现,而是借助底层函数,一定程度上绕过杀软的主动防御。

1.获取注入的目标进程,通过函数WTSEnumerateProcessesA获取到所有进程列表,遍历进程列表通过名称找到目标进程RuntimeBroker.exe,获取到进程信息。

在这里插入图片描述

2.通过映射内存方式将解密的shellcode映射到目标进程的内存中,再创建远程线程执行shellcode。

在这里插入图片描述
查看RuntimeBroker.exe进程,存在映射内存,属性为可读可执行,存储的数据正是解密的shellcode
在这里插入图片描述

3.4 shellcode执行,加载PE文件到内存,执行导出函数

shellcode中会一次一次的将硬编码的dll文件push到内存,随后获取导出函数的运行地址,创建新线程运行该导出函数

1.push大量数据到栈空间,该数据为 文件大小+去头DLL文件

在这里插入图片描述

在这里插入图片描述

2.解析内存中dll文件,获取导出函数的AddressOfFunctions以及FIRSTSECTION地址。

在这里插入图片描述
3.通过公式获取到导出函数在文件中的函数地址FOA

在这里插入图片描述
4.计算得出导出函数在当前内存中的地址

在这里插入图片描述5.在函数地址获取之前,获取到ntdll的模块基址

在这里插入图片描述

6.基于ntdll基址进行导出函数表遍历,进行传入hash的对比,匹配到即找到目标地址,找到目标地址后,会进行函数安全性检测,也是在函数层面进行杀软的对抗。
在这里插入图片描述
7.函数安全性检测主要进行软件断点|HOOK与否|CRC三个维度的检测。每个后续执行的函数都要确保杀软没有进行监控。
在这里插入图片描述

8.根据PE文件的SizeOfImage申请对应大小的空间,将PE文件写入到申请的空间,再将PE头信息去除,防止杀软的内存扫描,最后调用函数 NtCreateThreadEx 创建新线程,新线程的回调函数就是dll文件的导出函数

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3.5 反射加载dll文件

在dll文件的导出函数中,会模拟PE加载流程,将内存中的文件模式PE加载成为执行模式,也就是dll反射加载技术。

1.定位PE头,获取当前代码位置,回退0x3BF大小内寻找0x4550,也就是定位PE头

在这里插入图片描述

2.获取后续使用的函数,并且检测这些函数是否被杀软监控
在这里插入图片描述
3.调用函数ZwAllocVirtualMemory根据SizeOfImage申请对应大小的空间,之后先将PE文件头部拷贝到申请的内存中。

在这里插入图片描述
4.将区段从文件读取到内存中

在这里插入图片描述
5.导入表载入和修复

在这里插入图片描述
6.重定位表修复

在这里插入图片描述
7.初始化栈帧,调用OEP,开始运行恶意dll文件。

在这里插入图片描述

4. 小结

文章上篇记录恶意代码的载体行为,主要涉及文件运行流程和运行过程中如何防止杀软查杀,此相当于一个载体,将真正的恶意代码运载到目标机器,并确保恶意代码运行达到预期效果。

球童0206
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器(强推Seak老师)
杨秀璋的专栏
05-14 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带大家学习安天科技集团首席架构师肖新光老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。作者很少会在标题写“强推”的字样,但这篇文章真的值得学习,也希望对您有所帮助。
简单实现程序DLL劫持
XunanSec的博客
05-24 2102
0x00 前言 程序启动会调用固定的.dll文件,通过特定的手法将木马代码和进程注入到可被劫持DLL文件中,当程序正常启动,我们代码也会秘密执行。 0x01 利用过程 用到的工具 1、Aheadlib 2、Visual Studio 用美图看看Pdf来测试,朋友们可以拿这个练手,毕竟只有一个.dll文件,小傻瓜都知道是调用的这个dll来启动程序的 找到易劫持dll文件,打开Aheadlib,引入 注意这里设置的原始dll文件名,记住了最后正常dll名字要修改成这个 点击生成会
Dll注入技术之劫持注入
Hades的博客
06-28 1万+
Dll注入技术之劫持注入测试环境系统:Windows 7 32bit工具:FileCleaner2.0 和 lpk.dll主要思路利用Window可以先加载当前目录下的dll特性,仿造系统的LPK.DLL,让应用程序先加载我们的伪LPK.DLL,然后在我们的dll中去调用原来系统的原函数.引用网络中的原理讲解●背景知识●首先我们要了解Windows为什么可以DLL劫持呢?主要是因为Windows的...
[安全攻防进阶篇] 八.那些年的熊猫烧香及PE病毒行为机理分析
热门推荐
杨秀璋的专栏
08-13 1万+
如果你想成为一名逆向分析恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!技术路上哪有享乐,加油~
基于AI的恶意软件分析技术(3)
山楂的博客
05-05 7235
2020年一篇综述:基于AI的恶意软件检测和分类研究的发展、趋势和挑战
[安全攻防进阶篇] 五.逆向分析之Win32 API获取及加解密目录文件、OllyDbg逆向其原理
杨秀璋的专栏
08-03 8191
这是作者安全攻防进阶篇,希望对您有所帮助。前文作者讲解了条件语句和循环语句源码还原及流程控制逆向方法,这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程,第三部分分享恶意软件如何通过宏脚本发送勒索信息或密码至用户邮箱。基础性文章,希望您喜欢~
恶意样本分析手册-虚拟机检测篇(上)
zzkk_的博客
08-14 1628
每台虚拟机的组成要素:虚拟机的os,应用程序需要的各种包,应用程序。而每一台虚拟机都是在Hypervisor的基础上建立起来的。下面来看一下什么是Hypervisor。 虚拟机简介 首先来看一下整个虚拟机在物理机上的结构图 每台虚拟机的组成要素:虚拟机的os,应用程序需要的各种包,应用程序。而每一台虚拟机都是在Hypervisor的基础上建立起来的。下面来看一下什么是Hy
RocketMQ第一篇:入门介绍及启动部分源码分析
weixin_41667076的博客
04-25 363
Rocket MQ入门介绍及启动部分源码分析
宏病毒的研究与实例分析01——基础篇
鬼手的博客
03-10 1万+
文章目录前言基础知识宏与宏病毒VB基础sub与functionVB基本函数对象宏病毒实例分析实例1oledump.py宏病毒的分析技巧自动执行隐秘执行调用外部例程和命令执行字符串隐写Chr()函数Replace()函数CallByname 函数Alias替换函数名利用窗体、控件隐藏信息利用文件属性恶意行为字符串宏病毒的防御手段禁用宏越过自动宏恢复被宏病毒破坏的文档说明 前言 本系列文章将由浅入深对...
[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析
杨秀璋的专栏
06-04 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解
杨秀璋的专栏
02-01 9943
作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
AI 大模型部署到嵌入式原理与代码实战案例讲解
光剑书架上的书
06-01 1311
随着人工智能技术的快速发展,将AI模型部署到嵌入式设备上已成为一个热门的研究领域。这种部署方式不仅能够实现设备的智能化,还能够减少对云端服务的依赖,提高数据隐私性和系统响应速度。然而,由于嵌入式设备通常具有有限的计算资源、存储空间和能源供应,将复杂的AI模型部署到这些设备上面临着诸多挑战。本文将深入探讨AI模型部署到嵌入式系统的原理,并通过实际的代码案例来展示这一过程。权重剪枝:基于权重的重要性评估,移除不重要的连接或神经元。知识蒸馏:利用大模型(教师模型)的输出来训练小模型(学生模型)。
恶意代码分析及防治
qq_15156019的博客
05-17 1763
恶意代码分析及防治
java重点学习-spring
qq_40453972的博客
09-03 601
AOP称为面向切面编程,用于将那些与业务无关,但却对多个对象产生影响的公共行为和逻辑,抽取并封装为一个可重用的模块,这个模块被命名为“切面”(Aspect),减少系统中的重复代码,降低了模块间的耦合度,同时提高了系统的可维护性。常见的AOP使用场景记录操作日志、●缓存处理Spring中内置的事务处理什么是AOP面向切面编程,用于将那些与业务无关,但却对多个对象产生影响的公共行为和逻辑,抽取公共模块复用,降低耦合你们项目中有没有使用到AOP。
Datawhale X 李宏毅苹果书AI夏令营 学习笔记
m0_61049596的博客
08-31 793
今天,我继续学习了深度学习中的优化算法,并且着重理解了如何利用。等高级优化器来提高模型训练的效率和效果。2024年8月30日。
关于HarmonyOS的学习
m0_72035166的博客
08-30 744
1.flex固定定位的特点:脱离文档流,不会占位置;相对于body定位;不区分元素类型;不会随滚动条的滚动而滚动。2.sticky粘性定位的特点:是在固定定位和相对定位之间的一种定位。如果设置了坐标,满足条件,那么他就是固定定位,反之就是相对定位。3.吸顶效果*{margin: 0;padding: 0;main{4.轮播图结构:opacity,表示透明:取值范围0-1 0.1 0.2... 可以省略0不写;
学习项目1
最新发布
m0_62803606的博客
09-03 1364
这篇文章主要记录你最近入手的无线串口模块的配置情况,这是个很好的习惯,尤其是在你以后需要重复操作或排查问题时,会非常有帮助。- **DL_20无线串口模块**:这是一个常见的无线串口通信模块,通常基于nRF24L01+等无线通信芯片,支持点对点或多点通信,适合短距离的无线数据传输。是的,如果你按照步骤成功配置了两个模块并将它们连接到单机和电脑,当你在上位机软件(如SSCOM)上能稳定地接收到从单片机发送的数据(例如每秒输出的T值),就说明两个无线模块之间的通信已经配置成功。
MySQL基础学习
eugene03的博客
08-29 2280
事务是一组操作的集合,它是一个不可分割的工作单位,事务会把所有操作作为一个整体一起向系统提交或者撤掉操作请求,那么这些操作要么同时成功,要么同时失败。笛卡尔积:两个集合 A集合和B集合的所有组合情况(在多表查询时,需要消除无效的笛卡尔积)对于union 查询,就是把多次查询的结果合并起来,行程一个新的查询结果集。相当于查询表1(左表)的所有数据包含表1和表2交集部分的数据。相当于查询表2(右表)的所有数据包含表1和表2交集部分的数据。自连接查询,可以是内连接查询,也可以是外连接查询。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值