前言

前天筆者微信群里有個朋友發了一段聊天記錄,說是有一個ShellCodeLoader工具好像是CS木馬,如下:

筆者本來想從GitHub下載樣本研究一下,發現鏈接已經失效了,于是找群里的朋友要了樣本,就給大家簡單分析一下,對一些好玩的樣本,筆者一直本著“不放過”的研究態度,就當好玩吧,其實做安全也就是好玩。

分析

拿到樣本之后,發現包含兩個程序:LoaderMaker.exe和ShellcodeLoader.exe,如下所示:

樣本的編譯時間為2022年10月8日,如下所示:

運行LoaderMaker.exe之后,提示輸入相關的參數,生成ShellCodeLoader程序,如下所示:

筆者使用msfvenom工具生成一個彈計算機的shellcode.bin文件,然后通過參數,再次執行LoaderMaker.exe程序,如下所示:

這個工具給筆者生成了一個Loader.exe的加載程序,運行生成的Loader.exe程序,看看會不會彈計算機,果然彈出了計算機,如下所示:

我們先來看看這個工具是如何幫助筆者生成這個Loader.exe程序的吧。

1.打印命令行提示符,進程提權操作,如下所示:

2.讀取shellcode.bin的數據到內存中,如下所示:

3.對shellcode.bin的數據進行加密處理,如下所示:

4.讀取同目錄下的ShellcodeLoader.exe的數據到內存中,如下所示:

5.在內存中拼接數據,然后生成Loader.exe程序,如下所示:

6.將此前拼接的內存數據,寫入到生成的Loader.exe程序,如下所示:

到此Loader.exe程序就生成完成了,好像看起來感覺沒啥問題呀,但是仔細分析就會發現問題,它的打印函數功能好像不簡單哦?我們來看它里面深藏的一段代碼邏輯,如下所示:

一個全局變量,判斷它是不是等于6,如果等于6就會執行下面的惡意函數,如果不等于6,就執行加1的功能,其實就是在打印出6個字符串之后,就會執行隱藏的惡意函數操作,也就是聊天記錄中說的“只要一生成,就會注入進程”,原來如此,正好程序在生成之前會執行六次打印操作,這操作有點“意思”!下面我們來重點看看這個惡意函數的功能吧。

1.最后一次打印操作之后,全局變量等于6,不會執行跳轉操作,進入惡意函數,如下所示:

2.進入之后,如下所示:

3.遍歷進程,查找explorer.exe進程,如下所示:

4.通過GetNativeSystemInfo或GetSystemInfo獲取操作系統版本,判斷是否為64位的操作系統,如果不是64位操作系統,則退出,如下所示:

退出函數的代碼,如下所示:

5.讀取程序中的數據,進行解密,如下所示:

6.解密之后的數據就是一段惡意ShellCode代碼,如下所示:

7.將上面生成的ShellCode惡意代碼注入到explorer.exe進程中,如下所示:

8.注入之后explorer.exe進程,如下所示:

ShellCode代碼執行之后,會連接遠程服務器進行后面的操作,遠程服務器域名為:www2.jquery.ink,到此該樣本就分析完了,筆者只是好奇分析了這個樣本,至于其他相關威脅情報信息讀者自行參考研究吧,不作過多分析。

總結

給大家簡單分析了一下,筆者再次提醒大家不管是從GitHub等開源網站,還是其他一些非官方下載網站、論壇下載的各種黑客類工具、破解軟件等,一定要提醒自己,多想想,這些工具會不會有啥后門之類?

筆者每天的工作都在與各種各樣的惡意軟件家族打交道,基本上除了吃飯、睡覺、與家人娛樂休閑的時間之外,其它時間都在不停地分析和研究各種各樣的惡意軟件家族最新樣本和新型的家族等,其實大多數情況下筆者研究惡意軟件完全就是興趣與愛好,一定要搞清楚這些惡意軟件家族的攻擊手法、攻擊技巧以及免殺和逃逸技術等,所以筆者一直說興趣和愛好是做好安全的首要條件,如果不是真的喜歡做安全,也很難做好安全,更不會全身心的投入到安全當中,要把安全當成自己的事業,全力投入到自己熱愛的事業當中。

國內的網絡安全企業要走的路還很長,只要持續走下去,堅定信念,堅定不移,就一定可以能做大做強,一起為祖國的網絡安全事業貢獻自己的一份力量。

筆者一直從事與惡意軟件威脅情報等相關安全分析與研究工作,包含挖礦、勒索、遠控后門、僵尸網絡、加載器、APT攻擊樣本、CS木馬、Rootkit后門木馬等,涉及到多種不同的平臺(Windows/Linux/Mac/Android/iOS),筆者做安全研究的興趣就是喜歡研究一些最新的惡意軟件家族樣本,跟蹤國內外報道的各種安全事件中涉及到的攻擊樣本等,通過詳細分析各種安全攻擊事件中涉及的樣本、漏洞和攻擊技巧等,可以了解全球黑客組織最新的攻擊技術以及攻擊活動趨勢等,同時還可以推判出他們大概準備做什么,發起哪些攻擊活動,以及客戶可能會受到什么危害等,通過研究全球的黑客組織以及攻擊活動,做到知已知彼,各位讀者朋友如果有遇到什么新的惡意軟件家族樣本或最新的家族變種都可以私信發給筆者,感謝給筆者提供樣本的朋友們!

木馬 安全 工具
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接