百家团

百家团
登录
注册
“百家集团变种木马”运行原理简要分析浪子_三少2018-05-24 首发专栏：ZeroBuffer系统安全研究组关注
近期截获一款木马，从它的签名和域名分析特征来看和之前其他安全公司分析的木马同属于“百家集团木马”，只是行为有所改变，变得更加隐蔽，同时也绑定并且通过网络下发的途径在受害者机器上运行相应的危害性的木马
近期截获一款木马，从它的签名和域名分析特征来看和之前其他安全公司分析的木马同属于“百家集团木马”，只是行为有所改变，变得更加隐蔽，同时也绑定并且通过网络下发的途径在受害者机器上运行相应的危害性的木马，下面就对此木马做简要分析。

一、签名与访问域名的作者

1.png

木马域名的作者：

2.png

3.png

二、运行原理分析

1.初始化会释放两个内存dll

4.png

内存地址:

(1) byte_42B36D

5.png

(2) byte_42C775

6.png

2.分别获取两个内存dll的接口保存起来方便调用

7.png

8.png

9.png
10.png

它的接口都是用接口号方式获取，下面是提取出来的两个dll

11.png

其中一个内存dll有个10个导出接口

12.png

另外一个内存dll，有22个接口

13.png

14.png

2.执行dll 内的函数

看运行的虚函数指针表

15.png

初始化完成后就进入的0×401000,里面被TMD虚拟机虚拟代码，0x44E157函数虚拟加壳了。

16.png
一开始会获取木马当前的版本：

17.png

执行完毕后，跳出虚拟机后执行了会执行到地址401131地址函数

18.png

然后继续执行了2号模块的1号接口初始化网络

19.png

20.png21.png

然后接着继续执行2号模块的3号接口

22.png

23.png

下面2号模块的3号导出接口

25.png

从IDA下看到函数功能如下

26.png

该线程会从服务器请求证书key

27.png

然后继续进入虚拟机,对该数据进行操作，操作结束后，再次跳出虚拟机后就会执行2号模块的4号接口

28.png

注意这时的接口参数中有个木马域名: www.xxxxxx.cn

29.png

4号接口的功能大概如下，会在本地开启一个本地网络服务器

30.png

31.png

32.png

33.png

这个函数开始bind(),绑定本地端口0.

34.png

接着就会链接www.xxxxx.cn的服务器

35.png

Connect 服务器的443端口

36.png

接着执行5号接口，该接口会向服务器发送数据

37.png

发完数据后，然后会执行6号接口，6号接口是个关闭socket

38.png

注意的是3号接口线程会反复从服务器接口数据，控制木马的行为

总结下来，该木马大致行为如下：

39.png 至此这个木马的大概运行流程分析完毕，它的隐蔽性比较强，同时又是一个签名证书的木马，它的危害主要在木马制作者通过销售绑定网络带入其他针对性的木马侵害受害者机器，所以要针对这样的危害做针对性的研究与防御。

专栏
浪子_三少
浪子_三少
19 篇文章
等级： 4级
关注
||
发表评论已有 2 条评论

McQ 2018-05-28回复 1楼
你这报告，全是图片

亮了(0)

浪子_三少专栏作者(4级) windows Cracker 2018-06-08回复
@ McQ 图片上得文字已经很清楚了

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
相关推荐
对抗恶意程序的Anti-VM技术（基于CPUID的指令）
对抗恶意程序的Anti-VM技术（基于CPUID的指令）
你应该知道本文所描述的内容，因为文章主题已经很清楚描述本文的内容，众所周知，目前几乎所有的恶意软件都使用了加壳软件保护自己，这些加壳软件都使用了Anti-VM技术，这使得逆向工程师很难分析清楚它们内部实现原…

浪子_三少2018-10-143739
检测Hooks和ROP攻击：示例方法
检测Hooks和ROP攻击：示例方法
虽然有许多创新系统可确保软件安全。但是许多应用程序仍然容易受到hooks和return-oriented programming(ROP)的攻击。虽然不可能摆脱应用程序中的所有漏洞，但开发人员应该在编码阶段考虑可执行空间保护。本文介…

浪子_三少2018-10-103363
微软轻量级系统监控工具sysmon内核实现原理
微软轻量级系统监控工具sysmon内核实现原理
上次讲解了sysmon的ring3部分实现原理，本文则开始讲解ring0部分。Sysmon的ring0是一个minifilter类型的驱动，内部实现了进程信息、文件访问信息以及注册表访问信息的记录，下面开始具体讲解它的实现流程。

浪子_三少2018-09-1811126
微软轻量级监控工具sysmon原理与实现
微软轻量级监控工具sysmon原理与实现
Sysmon是微软的一款轻量级的系统监控工具，被常常用来进行入侵检测分析，它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录，并把相关的信息写入并展示在windows的日志事件里。经常有安全人员…

文章评论