警惕“永恒之蓝”抓鸡工具包里的后门

2017-06-06 +20 629091人围观 ,发现 14 个不明物体 系统安全

0×00 背景 

前几天晚上闲来无事,朋友给了我一个445批量工具,可能有后门程序,让我分析一下。经过分析我发现后门位于dll文件中,抓鸡大牛们要小心了。

0×01 分析过程

文件结构如下:

14964659781689.png!small 

程序的运行过程很简单,运行bat文件,就是扫描445端口,然后利用eternalblue攻击,再加载payload的dll文件。那么后门在哪呢?

1496465985376.png!small 

在这个dll文件中,大鱼吃小鱼。好,分析一下这个dll文件,没加壳。看下dll入口函数:

1496466022329.png!small 

这是dllmain函数:

14964660297345.png!small 

我们可以看到调用了sub_10001160()这个函数,跟一下看看:

14964660375534.png!small 

这是什么意思呢?增加账号可以理解,下边的Sleep,WinExec这是要干什么?我们让程序sleep,接着执行c:\users\m.exe这个文件。这个m.exe是怎么来的,可以看到上边有个调用sub_100001020(),跟进去看一下:

14964660874032.png!small 

从这个网站上下载xzz.exe文件,然后再执行,看看这个网站有什么东西。

14964660925959.png!small 

东西不少,下载xzz.exe分析一下。首先释放如下文件,并执行这些文件。

14964661002636.png!small 

反编译888.exe,发现,888.exe从资源CPP里读取文件,写入到磁盘里,名字是随机数字的dll,就是图中的5586317.dll,也是老思路了。

1496466154214.png!small 

14964661623043.png!small 

14964661677425.png!small 

利用dll加载工具,首先加载运行dll文件,之后创建文件并运行w3wp.exe。

利用w3w.exe加载5586317.dll,创建服务。

14964662116051.png!small 

反编译5586317.dll,可以看到动态加载各种dll,动态调用函数,免杀常用手段。

1496466215220.png!small 

14964662212827.png!small 

创建系统服务,名字是w3wp,描述为Microsoft Corporationot。发起网络连接,远控反弹。

14964662591733.png!small 

反弹到8881端口w3wp.exe发起的,反弹到6543端口是svchost.exe*32发起的。

可以看到svchost也加载了5586317.dll文件 ,另一个svchost加载了Mick.exe文件。

14964662637541.png!small 

149646626854.png!small 

反编译Mick.exe,简单分析一下。发现这个程序在c盘根目录记录了log,也写入了服务,反弹端口。

14964663016954.png!small 

14964663057980.png!small 

14964663113830.png!small 

我们可以看到Mick.exe是用于守护的。守护w3wp.exe进程。一旦杀掉w3wp进程,w3wp还会启动。

0×02 总结

大体的关键文件分析完了,这个工具包里的dll文件在完成表面的增加账号任务后,会接着进行后门安装从黑客网站上下载xzz.exe文件,释放木马程序安装服务,并且有守护进程。

*本文作者msx2009,转载请注明来自FreeBuf.COM

相关推荐

这些评论亮了

  • 在座的都是辣鸡 回复
    LOG写根目录,果然符合白菜黑阔的作风
    )20( 亮了
  • 大哥,你闹呢?你告诉我这哪是后门第一个dll里面就是放下载地址的啊 如果复现过MS17-010都知道是利用dll去劫持吧?你这个分析恨到位,但是不如放c32搜“http”那就出来了;第二个马子是通过访问dll来执行是几年前就出来的姿势了。我完全看不出哪里是后门 那就是放payload地方,建议你去完完全全复现一遍再发文章,可能是你标题和文章的字眼写错了吧。。。。希望评论的人也不要只看标题,,,这样会误导我们这些小白的。。。
    )14( 亮了
  • 只看你分析 为何不提供下 下载地址 让大家都能下载后 练一下手呢
    )11( 亮了
发表评论

已有 14 条评论

取消
Loading...

这家伙太懒,还未填写个人描述!

1 文章数 1 评论数 0 关注者

特别推荐

推荐关注

官方公众号

聚焦企业安全

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php