CTF导航 CTF导航

恶意木马历险记

逆向病毒分析 4个月前 admin
45 0 0

起因


之前下载某个软件的时候,有点不对劲,六七百M,但是还是双击打开了,后来这个东西释放/下载了一些木马文件下来,Defender告警了,我才发现有问题,后来github的号都被盗了,非常的气愤,接下来分析一下这个小马。

恶意木马历险记

Sha256
d77f0490f9c921baad0015c1eec2cafe1021814c8c28dee10a93179476fcb366

第一件事,DIE一下。


恶意木马历险记

是C/C++写的,直接IDA,IDA帮我自动跳到main函数。

恶意木马历险记
恶意木马历险记


龙卷风 ? 很好,我就喜欢这种有强度的。


F5先试试水。


恶意木马历险记

很好,不出意料,这个问题修改一下cfg先解决一下。

MAX_FUNCSIZE修改成512K之后,再f5。


恶意木马历险记

很好,完全看不懂(这里其实至少可以看出有bcf在的,bcf也是ollvm里的一种混淆措施,不懂的可以google下,太基础的不讲了)。

先一个个来,先解决平坦化。


恶意木马历险记

虽然看着比较吓人,但是稍微仔细看一下会发现,分发块的TRUE分支对应的真实块。

恶意木马历险记

几乎所有的真实块最后都链接到LoopEnd(LoopEnd是啥可以看一下ollvm的源码,这里不细讲,资料比较多)。

这种类似于标准OLLVM思路处理思路其实比较清楚


定位到StateVar(控制流平坦化的相关概念)被赋值的指令,然后找这个值对应的真实块,然后Patch就好了,但是写代码很吃细节(特别魔改过的ollvm),因为容易错,特别是大函数,编译器也瞎jb优化,有时候标准的ollvm自动优化成不标准的了。

控制流平坦化处理完之后,f5。


控制流很清晰,但是还是有bcf在,逻辑几乎还是看不了。

恶意木马历险记

接下来处理bcf


恶意木马历险记

仔细研究下,其实每个函数都有2个bcf变量(ollvm好像全局只有2个bcf变量,有点忘了),用来构造恒成立不等式的,这里有10个,因为他核心的混淆函数只有五个。

我的处理bcf的方式是,因为那个变量不影响运算,我直接把引用这个变量的指令Patch了,举个例子

mov ecx, bogus_10 -> mov ecx, 1

主要目的是让这个ecx寄存器变成常量,让IDA的反编译器来参与优化。

bcf处理完之后,代码也不一定完全能看。


恶意木马历险记

他这个样本还有类似于虚拟寄存器的东西。

恶意木马历险记

恶意木马历险记

这一系列运算都不知道在干嘛。

恶意木马历险记

这种超大的函数,只能借助Proximity browser来借助分析一下调用流(这里有个问题,ida卡的不行,ida只占那么一两百M内存是怎么回事,有几个g可以给他为什么不吃,鼠标移一下就卡好几秒,有没有懂哥)。
恶意木马历险记

这种一看就是shellcode的调用,但是shellcode在哪里呢,这是大问题。

直接定位到CreateThread。

恶意木马历险记

很好,只需要知道这个&v3186[*v3187]在哪里。

恶意木马历险记

很好,静态分析已经到头了(这部分的太多数学运算指令了,有点整不明白,希望大手子来指点下)。

动态调试


其实就是关键的系统API附近打断点,祈祷解密的shellcode在附近就是了(单步去分析这些运算指令也不现实,就跟手动跟VMProtect一样)。

打了好几个地方的断点,无果。

后来在这里附近:

恶意木马历险记

起初我是想知道这些字符串是怎么被运算出来的。

恶意木马历险记

后来发现还要写常量替换,指令合并,不然还是看不懂的(写起来估计也费劲,还不一定有用)。

但是,狗运有点好。

恶意木马历险记

似乎直接在内存中发现了这个shellcode?


savedata dump.bin,00177E40,0x23b000


直接dump出来,上传vt。

恶意木马历险记

很好,说明dump的没问题(但是这部分shellcode具体是怎么来的,其实并没有搞出来)。

二段Shellcode其实比较简单了


恶意木马历险记

恶意木马历险记

恶意木马历险记
恶意木马历险记
https://github.com/adobe/chromium/blob/cfe5bf0b51b1f6b9fe239c2a3c2f2364da9967d7/chrome/browser/webdata/token_service_table.cc#L60

慢慢分析就好了。

肯定是把我chrome的token和cookie偷了。

接下来准备研究一下,在有别人token和cookie的情况下,能做什么事,大伙期待下一篇帖子把。


这篇帖子涉及到的二进制文件和代码会上传到github,下面是链接:

https://github.com/helloobaby/thread-282253-details



恶意木马历险记


看雪ID:ookkaa

https://bbs.kanxue.com/user-home-865434.htm

*本文为看雪论坛优秀文章,由 ookkaa 原创,转载请注明来自看雪社区

恶意木马历险记



# 往期推荐

1、Win10和Win11内存区域划分及动态随机的本质

2、Windows主机入侵检测与防御内核技术深入解析

3、反沙箱钓鱼远控样本分析

4、安全浏览器历史记录数据库解密算法逆向

5、APP小说VIP功能分析


恶意木马历险记


恶意木马历险记

球分享

恶意木马历险记

球点赞

恶意木马历险记

球在看



恶意木马历险记

点击阅读原文查看更多

原文始发于微信公众号(看雪学苑):恶意木马历险记

版权声明:admin 发表于 2024年7月8日 下午6:03。
转载请注明:恶意木马历险记 | CTF导航

相关文章

近期钓鱼团伙相关样本预警——第一弹
admin
452
警惕:Kiteshield Packer正在被Linux黑灰产滥用
admin
53
Directory Opus 13.2 逆向分析
admin
88
毒鼠后门病毒再升级 通过伪造官网传播
admin
173
Fart 源码攻略笔记
admin
220
疑似与高校关联的远控程序分析
admin
73

相关文章

BestieLoader 恶意软件分析
0
野蛮fuzz:持久性fuzz
0
检测到新的零日漏洞:CVE-2024-43451
0
再谈银狐:百变木马银魂不散
0
修改PE导入表注入DLL——实例图文教程
0
SATURN: Host-Gadget Synergistic USB Driver Fuzzing
0
使用内核回调表进程注入
0
多个僵尸网络正利用Raisecom MSG1200 命令执行漏洞(CVE-2024-7120)传播
0
Linux | Mirai家族新变种Meow僵尸网络分析
0
银狐新变种于幕后潜行,暗启后门远控窃密
0