吾愛破解 - LCG - LSG |安卓破解|病毒分析|破解軟件|www.pjihhd.live

 找回密碼
 注冊[Register]

QQ登錄

只需一步,快速開始

搜索
查看: 7605|回復: 112
上一主題 下一主題

[PC樣本分析] 利用doc文件漏洞的木馬樣本分析

  [復制鏈接]
跳轉到指定樓層
樓主
Assassin_ 發表于 2019-7-22 15:33 回帖獎勵
使用論壇附件上傳樣本壓縮包時必須使用壓縮密碼保護,壓縮密碼:52pojie,否則會導致論壇被殺毒軟件等誤報,論壇有權隨時刪除相關附件和帖子!
本帖最后由 Assassin_ 于 2019-7-22 15:41 編輯

利用doc文件漏洞的木馬樣本分析

前言

樣本多次dump和調用,比較麻煩,考驗耐心。希望大家一起參考學習,一起進步!如有不當之處,也希望大佬批評指正,晚輩一定虛心受教。由于考慮到時間問題還有個人能力的原因,如果又不清楚或錯誤的地方,也請大家見諒,不懂之處歡迎提出私信,我也盡量解答

分析

樣本信息

樣本名稱: giấy mời họp.doc
樣本大小: 597K
MD5: 6897B33954A4B228F8A7132E07FDE3B6
樣本來源: https://www.virustotal.com/gui/file/37378258b682c92e11e45c4714a95ef843dfc48e064112e9969586ae88c386bf/detection

環境與工具

win xp,win7 32 ,OD, IDA, exeinfo

分析

簡述CVE-2012-0158,找到溢出點

該漏洞為棧溢出漏洞,其惡意軟件有很多也是利用該漏洞進行傳播的。形成該漏洞的原因網傳據說是”巨硬“特意留的后門,其漏洞形成的模塊在MSCOMCTL.ocx中,我們IDA反匯編該模塊,其漏洞的點在于dwBytes變量,正常的Cobj對象大小為8,但是因為有個”>“導致通過構造大于8的結構。


而且之后沒有進行檢測,直接進行了拷貝操作

這就導致內存棧溢出。
接下調試,OD采用中斷于新模塊

當加載mscomctl.ocx模塊時,下斷點到RVA=226FA處

單步找到拷貝覆蓋,即溢出點。

我們看到這里的esp已經準備好了,接下來返回地址只要為jmp esp就可以跳轉到惡意代碼處。

跳轉到惡意代碼

Shellcode分析

解密代碼,解密大小為0x200,解密算法為( (byte [edi]+0xAB) xor (0x33) ) - 0xFC

之后跳轉到解密后的代碼

尋找所需模塊地址


尋找指定API

映射已打開文件

可以看到文件映射為doc文件


找到文件中的指定代碼

解密執行

Hook API


Hook之后的代碼

可以看到后邊的API調用都是通過調用被Hook的API調用的

并且調用API如果存在固定格式的話會跳過之前的5字節,這樣od不能直接識別,也防止直接下斷點,麻煩

之后的操作為
解密配置文件


申請空間,解密代碼


解密第一段PE

解密第二段,該段文件為FakeDoc頁面

拷貝內存到doc文件中


以掛起的形式創建進程

接下來寫入PE文件
得到上下文環境

申請空間,地址為0X50000000

寫入代碼

設置上下文環境

恢復現場

調試注入代碼

拼接字符串
C:\Documents and Settings\Administrator\Application Data\Microsoft\SystemCertificates\systems.exe
C:\Documents and Settings\Administrator\Application Data\Microsoft\SystemCertificates\goopdate.dll
C:\Documents and Settings\Administrator\Application Data\Microsoft\SystemCertificates\Systemsfb.ebd
C:\Documents and Settings\Administrator\Application Data\Microsoft\SystemCertificates\install.inf


解密代碼

首先創建systems.exe文件

解密代碼,大小為E7FA

改代碼為壓縮之后代碼,進行解壓縮,其算法應該為Zlib1.2.8版本


解壓之后為一PE文件,并將其寫入systems.exe中

同理創建goopdate.dll文件和Systemsfb.ebd文件

之后,創建vidcap.lnk快捷方式,與之前的systems.exe綁定

模擬按鍵進行啟動

刪除該lnk文件

將WINWORD.EXE重命名為~DF6DC0E07310E5D9BC.tmp,并設置屬性為隱藏

之后顯示正常的doc文檔,欺騙用戶

systems.exe和Goopdate.dll分析

  1. system.exe
    調用dll文件

  2. Goopdate.dll
    尋找.xdate節表

進行xor解密,并調用


解密代碼執行,主要行為讀取同目錄下的systemsfb.ebd文件,解密執行


systemsfb.ebd

這里依舊解密


可以看到該代碼為去掉MZ的頭部PE文件,我們補好該文件
之后通過VirtualAlloc申請空間并進行映射,為了節省空間,我們直接分析該dump下來的PE文件

最后一個dump文件

經過一系列的解密dump文件,終于到了最后一個文件
首先,在初始化過程中,存在關鍵函數


首先查詢注冊表項

在設置Internet選項時,存取獲取信息,所獲取信息如下

該函數獲取信息如下
獲取系統版本,位數,CPU 頻率,內存信息,計算機名,用戶名,IP地址,磁盤信息

對信息進行處理


創建互斥體,檢測虛擬機,創建注冊表開機啟動

得到域名及其端口號


創建兩個線程,進行網絡連接,完成對信息的傳輸
HTTP進行連接

tcp連接

IoC:
cu.Phimhainhat.org

結語

附件:
giay moi hop.zip (256.08 KB, 下載次數: 65)


密碼:52pojie


免費評分

參與人數 39吾愛幣 +43 熱心值 +39 收起 理由
UniqueLegend + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
Jackdlk + 1 + 1 我很贊同!
smile5 + 1 + 1 用心討論,共獲提升!
時間去哪 + 1 + 1 熱心回復!
llloo + 1 + 1 用心討論,共獲提升!
IMRE + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
Trample + 1 + 1 用心討論,共獲提升!
fei8255 + 1 + 1 用心討論,共獲提升!
solst + 1 + 1 用心討論,共獲提升!
跳舞吧,大象 + 1 熱心回復!
jiangcs98 + 1 + 1 熱心回復!
code0day + 1 + 1 我很贊同!
黑椒牛扒 + 1 + 1 [email protected]
煉獄的虛夢 + 1 + 1 我很贊同!
艸123 + 3 + 1 我很贊同!
宸先生 + 1 + 1 用心討論,共獲提升!
維尼的蜂蜜 + 1 + 1 熱心回復!
MintPrince + 1 + 1 我很贊同!
siuhoapdou + 1 + 1 [email protected]
笙若 + 2 + 1 [email protected]
hjw45611 + 1 + 1 熱心回復!
yixi + 1 + 1 [email protected]
zazmr + 1 + 1 用心討論,共獲提升!
Eric1 + 1 + 1 [email protected]
tztt3033 + 1 + 1 用心討論,共獲提升!
N0LL + 1 + 1 厲害
liphily + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
2673 + 1 + 1 用心討論,共獲提升!
南冥的小鯤 + 1 + 1 用心討論,共獲提升!
hongge + 2 + 1 我很贊同!
天空藍 + 1 + 1 病毒分析師!讚
cs0208 + 1 + 1 新人膜拜大佬
網絡連接中__ + 1 + 1 感謝您的寶貴建議,我們會努力爭取做得更好!
哇嘎吖嚕噠 + 1 + 1 牛皮
小2b + 1 + 1 牛逼
bakaest + 1 + 1 厲害
Gentlewang + 3 + 1 膜拜技術大牛!
shuaikai + 1 + 1 很厲害
學習使我快樂鴨 + 1 + 1 我很贊同!

查看全部評分

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

推薦
jiangcs98 發表于 2019-7-22 17:44
嗯,從頭到尾看了兩遍,寫得還算不錯,各路邏輯也很清晰,這點是值得贊賞的。






唯一的遺憾是我根本看不懂.............
推薦
RS漢堡 發表于 2019-7-22 21:41
4#
i8o2eu 發表于 2019-7-22 15:53
5#
TFBOYS_GDW 發表于 2019-7-22 16:00
不明覺歷。。樓主厲害
6#
17711600400 發表于 2019-7-22 16:07
看不懂,
7#
Jack-whz 發表于 2019-7-22 17:26
感謝樓主分享
8#
麥茫 發表于 2019-7-22 17:38
確實有點看不懂的感覺
9#
52FYKX 發表于 2019-7-22 18:03
唯一的遺憾是我根本看不懂.........
10#
夏夜聽雨 發表于 2019-7-22 19:46
非常好的一個帖子還在學習中謝謝啦
11#
chenjingyes 發表于 2019-7-22 21:18
謝謝樓主分享,以前我分析過的漏洞
您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 警告:禁止回復與主題無關內容,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

GMT+8, 2019-10-14 10:02

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表
七乐彩50期走势图