IDA Pro > IDA Pro教程 > 技术问题 > CS马伪装下的loader样本分析

CS马伪装下的loader样本分析

发布时间:2022-10-09 15: 14: 38

本文是一篇样本分析实战案例分享,对以下样本进行全面的逆向分析,非常有参考意义,原文作者是寅儿,文章仅做学习参考,请勿在其他用途使用。

样本下载

https://app.any.run/tasks/ffc1ecff-e461-4474-8352-551db7e7b06f/

相关平台包括:VT,微步,哈勃app.any.run,joesandbox等

 

一、开源情报收集

通过VT检测,可以看到被识别为木马程序了:

在沙箱中运行后,得到行为分析记录:

可以看到用GET请求访问C&C服务器下载了一个二进制binary文件(存在恶意问题),需要打开binary文件查看详情:

dump下来wireshark数据包,过滤http请求后,同样可以发现该二进制文件,接下来进行抓包分析:

通过查询C&C服务器IP,对它进行检测,进一步了解恶意行为:

现在我们对该恶意软件已经有了初步了解,接下来进行数据包分析,看看能不能找到有用的信息。最直观的就是使用了非常见的端口连接,还有发现一个有趣的现象:

竟然是肉鸡主动连接的C&C服务器,让作者联想到了CS马。这种手法类似于反弹shell,好处就是可以绕过防火墙限制,如果对方是内网ip,你无法直接发起连接请求,方便持久化控制等等。

 

二、样本基本信息

用exeinfo查壳后,我们发现它是标准32位VC编译得来的程序,如下图所示:

使用Process Monitor监控期行为如下:

具体每一项的图不详细列出了,请大家大概看下,它有读取注册表的某些键值,并设置了某些键值对应的值,很多对IE浏览器的设置,代理,Cache等等。同时还有用createfile()函数读取了本地一些文件,但是没有在磁盘创建文件的行为,也没有删除文件的行为。

 

网络行为监控可以看到send,receive动作,应该是从C&C服务器接收了下一阶段的恶意负载。并没有在注册表里面找到用于持久性控制的键值修改。

 

三、IDA静态分析

根据先静后动的分析原则,我们先试用IDA载入程序,导入表查看内部的代码,标志性的API存在不少,比如反调试的:

以及查询用户默认区域:

还有分配内存的行为,因为恶意样本会从C&C接受binary文件,但是没有写入磁盘,猜测就是用来这个API开辟了一段内存空间,在内存中执行payload:

但是这里存在一点很疑惑,那就是没有看到与网络操作有关的API函数和库。进一步来看静态字符串:

并进行分析程序流程:

可以看到两个函数,作者重点分析了第二个函数sub_453960(),因为第一个函数点进去看没有什么实质性的操作,在初始化处理,创建互斥体等等。

 

采取的办法是直接对照着IDA,在OD中把第二个函数完整的执行了一遍,花费了大概三个半小时,搞清楚了程序流程。关键函数是sub_4534B0(),在它来到关键函数之前,恶意软件还设置了某几个文件夹的属性,如C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies,这操作难道要窃取cookie?

 

调试后定位到关键函数,其实这应该就是主函数,IDA没有识别出来:

程序用VirtualAlloc()开辟了一段内存,&unk_515000里面存的是程序硬编码的payload,sub_44F3DC()的作用相当于strcpy(),将payload复制到v1,然后把v1当函数执行。其实payload就是一段机器码。从00515000—0051531F,更有意思的是在payload尾部发现了C&C服务器的ip地址。而且之后调试发现,整个程序都是使用的这种手法来执行自己的payload。

 

payload分析:

四、OD动态分析

第一步:关闭样本的aslr,方便进行分析和调试,载入peview:

偏移是15E,放入hex编辑器010editor:

修改完成后,载入OD即可,反调试是用hideod过的,手工也可以,直接修改PEB块中的值。

直接从关键函数处开始展示:

因为是32位系统,默认是eax寄存器存放函数返回值,调用完VirtualAlloc()后返回值存放的是分配内存的首地址,0002000,也就是说payload会被复制到这里,并执行。

并且该内存页属性为RWE,符合条件:

数据窗口跟随,在执行完sub_44F3DC()后payload被复制于此。

程序开始执行payload,经过对payload的调试,通过loadlibrary()函数加载wininet库,这也解释了为什么在导入表里面没有找到与网络操作相关的API函数信息。找到所需API函数地址后,开始与C&C服务器通信:

我们直接对00020068和0020086处下断点即可,调试的时候可以很明显的感觉到,有时钟机制在阻碍动态分析,所以直接在关键点下段绕过:

可以看到00020068处是进行网络通信时用到的API函数的ASCII码:

00020086处用了一条jmp eax指令来执行API函数:

因为之前讲过通过沙箱分析和流量分析知道,第一个样本会连接C&C服务器下载第二段payload,大体思路就是通过VirtualAlloc()函数分配一块内存,然后通过InternetReadFile()指令读取payload到内存。查询VirtualAlloc()传参次序:

从右向左进行传参,通过网络进行了复查当Address参数为null时,系统将会决定分配内存区域的位置,并且按64-KB向上取整(roundup)。这个位置是随机的,之后会调用InternetReadFile(),将第二段负载读到此处。

此处下一个硬件执行断点:

第二段payload已经被读入:

程序开始执行第二段payload:

循环解密payload:

可以看到解密出来就是一个PE文件,把PE文件dump出来:

对其进行查壳:

最终获得了一个dll文件,对它再进行VT分析:

之前分析复现过APT28的一个样本,手法和这个程序差不多,最终也会释放一个恶意的dll。Dll文件有的是用rundll32执行,有的是直接在内存里加载dll,执行里面函数,这样dll就不用落地了,就算exe程序被捕获了,dll核心功能也不会被获取到。所以本例中是直接在内存中进行执行。

说一下要点:因为之前有CTF经验,在静态分析时快速识别出来base64算法和AES算法。

Base64码表:

Base64算法实现:

‘=’补齐:

最终发现了用于AES加密的S盒:

标准的HttpSendRequestA系列API进行网络请求:

请求的动态调试时,会发现一个url:

通过分析数据包,作者原本以为像普通木马一样,收集本机敏感信息,压缩上传至C&C服务器,结果其实更加狡猾:恶意的dll相当于还是一个downloader,它通过去连接这个url,类似于心跳包检测的机制,根据页面回显或提前设置好的标志位,来决定执行的操作,是执行恶意功能还是sleep。执行恶意功能应该就是去下载真正的恶意负载。

五、攻击流程

这个样本的适用场景应该是APT组织攻击或红队攻击中,通过渗透测试成功向目标上传了CS马,但是由于CS的易检测的特制,不适于现代实现持久化控制的目的。所以在cs马中硬编码了一段payload,与C&C服务器进行通信下载了一个binary。

 

通过xor操作达到免杀的目的,这个binary的作用相当于一个downloader,用于下载下一阶段的恶意负载。通过对请求的url的判断,提高了自己的隐蔽性,在合适的时机被攻击者唤醒。

 

样本还有一个亮点是全程没有落地,通过VirtualAlloc()分配内存,将payload复制进内存进行执行,给逆向分析的过程中带来了不少的麻烦。

 

最终样本检测通过社区的yara规则即可检测为恶意样本。

 

附录一:IOC参数

 Main object:“3F37FC95AA5C8F7C304AA0DFC3FFBF2E”

 SHA256:F6E04B3710044F76666468559FD2B6688CCAC091284D138E461C2257C387D7D3

 SHA1:4BB7B4AE2CC8C5D6C8EF1704A9B027878190D028

 MD5:3F37FC95AA5C8F7C304AA0DFC3FFBF2E

 Connections

 IP 8.210.181.149

 HTTP/HTTPS requests

 URL http://8.210.181.149:16678/activity

 URL http://8.210.181.149:16678/9jhQ

 

附录二:关联分析

关联分析用的是奇安信的平台:

原文链接:https://www.freebuf.com/articles/web/257752.html

展开阅读全文

标签:IDA

读者也访问过这里:
邀请您进入交流群 点击扫码
400-8765-888 kefu@makeding.com

专业销售为您服务

欢迎添加好友,了解更多IDA优惠信息,领逆向工程学习资料礼包1份!
热门文章
exe反编译工具哪个好?反编译能力强的工具盘点
随着软件技术的发展,exe(可执行文件)已经成为了电脑、手机等多个平台上的主要软件运行格式,而对于exe文件的反编译也成为了逆向工程中不可缺少的一个步骤。本文将介绍一些常用的exe反编译工具,并评价其优缺点,帮助读者选择合适的工具。
2023-04-12
idapro怎么改为中文
IDA Pro是一款功能强大的反汇编和反编译工具,广泛应用于逆向工程和软件开发领域。在使用IDA Pro时,如果我们不习惯英文界面,可以将其改为中文界面。本文将介绍IDA Pro怎么改为中文界面。IDA Pro界面改成中文主要有两种方法,下面是详细介绍。
2023-04-19
c++反编译工具有哪些
反编译C++代码的工具一般是针对可执行文件和库文件的反汇编和逆向分析工具。本文将给大家介绍c++反编译工具有哪些的内容。市面说的c++反编译工具有很多,下面介绍几款使用认识较多的软件。
2023-04-23
ida如何转伪代码 ida伪代码怎么看
IDA Pro是一款常用的反汇编和反编译工具,可以帮助我们分析二进制文件的实现细节和执行过程,以便更好地理解程序的执行过程和逻辑。在进行逆向工程的过程中,我们经常需要将反汇编结果转换为伪代码,以便更好地进行分析和修改。本文将介绍如何使用IDA Pro转换为伪代码,并简单讲解ida伪代码怎么看。
2023-04-14
IDA反汇编流程视图的常用基本操作设置
IDA中反汇编窗口中有两种不同的形式,分别是列表模式和图形模式,IDA默认打开是图形模式,就是反汇编流程视图,可以用来分析程序函数的具体运行情况。
2021-06-15
IDA的初始使用说明和界面简介
IDA能帮助我们分析恶意软件、分析系统漏洞、验证编译器的性能,其支持在Mac系统、Windows系统、Linux系统中使用,是一款非常优秀的反编译软件。
2021-03-16
最新文章
ida pro权威指南是什么?ida pro权威指南好学吗?
在逆向工程和软件分析领域,IDA Pro(Interactive Disassembler Pro)是一款广受欢迎和高度专业的反汇编工具。其复杂的功能和广泛的应用使得许多初学者和专业人士对如何使用IDA Pro充满了兴趣和疑问。为此,《IDA Pro权威指南》成为了学习和掌握这一工具的重要资源。本文将详细探讨《IDA Pro权威指南》是什么、其学习难度如何以及IDA Pro适合哪些人使用。
2024-05-22
mybatisplus逆向工程是什么?mybatisplus逆向工程怎么做?
MyBatis-Plus作为一种高效的ORM框架,其逆向工程功能特别受到Java开发者的欢迎。通过自动从数据库生成代码,它极大地简化了开发流程并提高了代码质量。本文将探讨MyBatis-Plus逆向工程的核心原理,实施方法,并分析其在现代开发实践中的应用。
2024-05-17
逆向工程思维都有哪些?逆向工程思维应该如何训练?
在当今科技迅速发展的时代,这些问题对于专业人士及技术爱好者来说显得尤为重要。逆向工程思维不仅能够帮助人们深入理解技术产品的内部结构和功能原理,还能促进创新和改进,是信息安全、软件开发和硬件分析等多个领域的关键能力,了解逆向工程思维的元素及其训练方法,对于每一个科技专业人士来说都是必备的。本文将深入介绍逆向工程思维的构成,探讨如何系统地培养这种思维,并分析哪些软件工具对于实践逆向工程至关重要。
2024-05-13
计算机逆向工程是什么概念?逆向工程技术怎么学?
随着技术的快速发展,逆向工程在软件和硬件开发中扮演着越来越重要的角色。了解和学习计算机逆向工程不仅可以帮助技术人员理解复杂系统的内部机制,还能增强他们应对安全威胁的能力。本文将详细介绍计算机逆向工程的基本概念和学习途径,为那些希望深入该领域的专业人士提供指导。
2024-05-09
逆向工程技术有哪些?软件逆向工程怎么做?
在技术迅速发展的今天,逆向工程已经成为一种不可或缺的技术分析方法,特别是在软件开发和信息安全领域中。逆向工程技术使我们能够通过已完成的软件或硬件产品来探索其设计和操作的底层逻辑。本文将深入探讨逆向工程的各种技术及其在软件开发中的实际操作方法。这种技术不仅能帮助研究者学习和理解原始设计的思路,还能揭示产品潜在的安全漏洞,为改进和优化提供可能。
2024-04-30
逆向工程是什么意思?逆向工程核心原理是什么?
逆向工程是什么意思?逆向工程核心原理是什么?逆向工程作为一种复杂而又精细的技术手段,广泛应用于软件开发、硬件分析以及信息安全领域。通过分析产品的最终形态,逆向工程能够揭示出产品的设计理念、构造方法和运作原理,从而为技术创新或者产品改进提供参考和灵感。
2024-04-30

通过微信咨询我们

欢迎添加好友,了解更多IDA优惠信息,领取逆向工程学习资料礼包1份!

读者也喜欢这些内容: