发布日期:2024-11-03 06:34 点击次数:94
msi在装配进程中奉犯罪意剧本,在C盘开释载荷ee.exe,ee.exe解密奉行shellcode,shellcode通过多种妙技奉行反调试操作,添加Windows Defender的摒除旅途,解密字符串获取url后建立连续下载文献并解密,获取多个url,赓续下载文献开释到指定旅途下,文献包括具极端据签名的白文献,坏心dll,ffff.pol,ffff,lop。Shellcode加载白文献,白文献启动进程中加载坏心dll,坏心dll加载ffff.pol到内存中,ffff.pol是艰苦MZ头的pe文献,添加后跳转到进口点奉行,ffff.pol解密ffff.lop文献得到dll文献和ip地址等,奉行ffff.lop文献的导出函数Edge与c2建立通讯获取指示奉行窃密、提权、缔造自启动等操作。把柄域名,开释文献旅途肛交,远控模块判断是银狐病毒。
Msi文献中被注入坏心剧本,在装配进程中将三个文献的践诺并吞成一个二进制文献C:\ee.exe并奉行。
ee.exe进口点被修改为跳转指示,text段存在shellcode。将shellcode复制到恳求到的内存空间后跳转奉行。
通过xor解密shellcode,解密后数据如下图所示。
运用LoadLibraryA和GetProcAddress动态获取其他函数。
调用CreateToolhelp32Snapshot(),Process32First()和Process32Next()函数遍历程度,判断是否存在MsiExec.exe程度。
调用GetCurrentProcessId()函数获取当远景度ee.exe的pid,遍历程度,通进程度id判断是否是当远景度,是当远景度则获取当远景度的父程度pid。
遍历程度获取ee.exe父程度的父程度pid。
再次遍历程度获取ee.exe父程度的程度名。再次遍历程度获取ee.exe父程度的的父程度程度名如若是explore.exe截止程度。获取计较机称号,创建互斥体。
解密出建树文献旅途C:\xxxx.ini。
运用GetTickCount64函数和rdtsc反调试。
调用CreateToolhelp32Snapshot(),Process32First()和Process32Next()函数遍历程度,判断是否存在360tray.exe,360sd.exe,360safe.exe程度。如若存在截止程度。
调用CreateToolhelp32Snapshot(),Process32First()和Process32Next()函数遍历程度,判断是否存在msmpeng.exe,mpcopyaccelerator.exe,securityhealthsystray.exe程度,这些是windows defender联系程度。通过这个shellexecuteA调用,会启动 PowerShell 并奉行指定的高唱,完成对Windows Defender的摒除旅途的缔造。摒除的旅途包括'C:\ProgramData'和'C:\Users\Public'。参数-Force示意强制奉行,即使有警告或阐发教导也会被忽略。
由硬编码的字符串解密出url:Hxxps://oss3333.oss-cn-shanghai.aliyuncs.com/c.dat。
调用InternetOpen,InternetOpenUrlA,InternetReadFile读取数据到恳求的内存中。
从读取的践诺中解密出以下url。 
立时生成字符串后,从硬编码的字符串中解密出开释旅途。之后与立时生成的字符串拼接肛交,调用CreateDirectoryA函数创建目次。
生成立时字符串与上述旅途拼接后与.exe拼接。之后又拼接出三个旅途如下图所示,文献名由上文中https通讯读取的数据解密得到。
调用InternetOpen,InternetOpenUrlA,InternetReadFile从Hxxps://oss3333.oss-cn-shanghai.aliyuncs.com/DMR_120.jpg读取数据到恳求的内存中异或解密得到pe文献。
写入到下图所示文献中。
从Hxxps://oss3333.oss-cn-shanghai.aliyuncs.com/DMR_121.jpg中下载的数据解密后是dll文献,写入到开释旅途下的CiscoSparkLauncher.dll文献中。
可奉行要领是具有灵验签名的白文献,启动时加载坏心dll。
从Hxxps://oss3333.oss-cn-shanghai.aliyuncs.com/DMR_122.jpg中下载的数据解密后是不具有mz标志的不完好pe文献,写入到开释旅途下的ffff.pol文献中。
从Hxxps://oss3333.oss-cn-shanghai.aliyuncs.com/DMR_123.jpg中下载的数据解密后写入到开释旅途下的ffff.lop文献中。
缔造开释文献场合的旅途为面前旅途。
调用ShellExecuteEx奉行开释的白文献。
获取计较机称号,创建互斥体
解密出shellcode后奉行。
运用LoadLibraryA和GetProcAddress动态获取其他函数。加载ffff.pol文献到内存中,修补mz头后跳转到进口点奉行。
调用OpenMutexA、CreateMutexA函数确保程度独一启动。
创建线程,获取高唱行参数当作线程函数的参数。调用IsUserAnAdmin函数判断面前用户是否具有解决员权限。如若具有解决员权限则缔造UAC不弹出任何教导框,以解决员权限自动启动要领。
创建线程不休遍历程度,判断是否存在360tray.exe,360safe.exe,360sd.exe程度,而况请求目的窗口关闭本人。
读取ffff.lop文献到内存中,从肇始位置偏移2A0处解密出pe文献,大小5a000。
从肇始位置偏移180处得到IP地址。
从肇始位置偏移4dd48处得到IP地址。
从肇始位置偏移190处得到端口7000。从肇始位置偏移1a0处得到uiekjxw.net。从肇始位置偏移4e1a4处得到iuearx.net。从肇始位置偏移1b0处得到端口7063。在内存中伸开确立后获取导出函数Edge地址跳转奉行。
删除指定文献,并把指定文献缔造为HIDDEN|SYSTEM。
创建线程,排列窗口,如若窗口标题栏上表示的文本信息所以下字符串则调用ShellExecuteA函数再行启动要领,并退出当远景度。
[培训]内核驱动高等班肛交,冲击BAT一流互联网大厂使命,每周日13:00-18:00直播讲课
辽宁干部在线学习网