最近玩MC的3c3u服务器,是一个类似2b2t的无政府服务器,加了官方群,一个好心大哥给我发了一个挂。
主程序
逻辑如图,跟踪一下函数,函数名和变量名都是我恢复的。一开始以为是SMC,后来发现是反射加载dll。加载函数如下。
至此程序逻辑已经较为清晰:反射加载dll,具体为从密文以标准xxtea算法解密数据,然后把数据地址传入加载dll函数,最后调用dll中的函数,函数名为前面传进来的StudyHard。
dll
dump dll的过程可谓艰辛,由于打CTF打多了,最开始写了一个c脚本,结果发现0x15000个u_int32似乎不好打印,后来又尝试保存到文本,效果也一般。(可能是IDA哪里分析出问题了)后来又尝试了下断点让他自己解密,因为他这个dll想执行最后肯定得以无加密方式执行,但是似乎有反调试,运行会卡住,跑不到解密的地方。(复盘时考虑可能是那些抛出异常的地方写了专门的处理,结合下图一堆函数猜测可能是自调反调试)
最后采取的方案:虚拟机直接运行,转储运行文件。这个程序应该是写入计划任务了,重启发现虚拟机里面还有这个样本,那只能说是正合我意了。
直接IDA分析这个内核转储文件。这里直接用windbg打开,显示:
吓了我一跳,还以为是天堂之门,后来群里大哥说是调用了64位dll就会这样,而且这样必须用IDA64分析了。
IDA64打开转储文件,直接按G jump到那个加密dll的地址。
StartAddress
DllMain
从URL下载文件,写入构造的地址(就是前面获取的)。
查找rundll32.exe,找到就taskkill了。
等待服务器发送指令(域名不贴了,就是server_domin),控完while(1) sleep。
根据系统版本写启动项,驻留。其中win10就用前面分析的StartAdress。
StudyAdress
本来以为这才是正餐,分析了一下,大部分跟dllmain一样。
剩余部分有意思的函数
查找这161个杀软是否存在,看到这玩意我第一反应是真牛逼。
至此已经拆的差不多了,控制方发送字符组成的指令序列,在被控机执行。
另外有意思的是作者把网站的80端口伪装成了一个没备案被拦截的页面,nmap扫了只有22 443 80开着,微步沙箱测到是在3xxxx上通信的,后面有空在研究了。
看雪ID:0xA1pha
https://bbs.kanxue.com/user-home-1004111.htm
*本文为看雪论坛优秀文章,由 0xA1pha 原创,转载请注明来自看雪社区
原文始发于微信公众号(看雪学苑):好心群友给的外挂大礼包——记一次远控马分析
