快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

静态阐发一款锁首的RootKit样本

*

闲来无事,阐发一个Rootkit(MD5:973fe1392e8145daf907fad7b4fbacdc)病毒驱动,样原先源于52pojie论坛。阐发此样本的目的在于增添本人的逆向阐发能力以及加深对windows内核的认识。(可能有阐发的纰谬之处,请人人指正)

病毒总体逻辑

总体的病毒逻辑以下图所示。

main_mal_logic.png

1,创建病毒设备对象\\Device\\93218ec2da92e0af。

2,hook多处体系函数。

3,下载并执行盗号木马

4,初始化锁首所需的html文件。

5,解密锁首所需的网址。

6,创建映像加载归调。

7,执行首要的锁首逻辑。

8,注册mimifilter。

9,创建一个线程,检查更新和以上逻辑是否都正确执行。

下面具体先容每个病毒逻辑。

创建驱动对象

创建设备名为\\Device\\93218ec2da92e0af的设备,并且注册了关机归调。

create_drive.png

HOOK体系函数

hook_sysapi.png

使用一样的要领hook了ntdll的ZwCreateThreadEx,NtCreateThreadEx,ZwProtectVirtualMemory,NtProtectVirtualMemory,ZwReadVirtualMemory,NtReadVirtualMemory,ZwWriteVirtualMemory,NtWriteVirtualMemory和kernel32的WinExec以及ZwClose多处API。

下载执行盗号木马

该病毒会下载执行盗号病毒(MD5:0769a5098f7e95e1d9bd4bd0acce8eae),该病毒首要用与网络windows上岸凭据的hash,和种种服务器的账号暗码。

a,网络NTLM哈希。

image.png

b,网络种种账号暗码

image.png

这个样本在vt的检出率为55.2%。

vt.png

解密锁首需要的网址

解密逻辑分为两步,黑客网,第一步调用decode_funA()解密key,然后使用key解密内存中被加密的url得到明文url,并将全局变量lockpage_flag配置为1。

decode_url.png

锁定阅读器主页

我们查看解密出的url的交叉引用,可以看到有三处调用逻辑。

xref.png

lockpage_logic1:

lock_logic1.png

lock_logic2:

lock_logic2.png

lock_logic3:

lock_logic3.png

创建映像加载以及进程归调

创建映像加载以及进程归调,在指定进程运行时,运行相干的病毒逻辑。

proc_image.png

注册minifilter

逻辑以下:

minifilter.png

更新及检测各逻辑是否都正常执行

@FUWY4TU_U8CCP6{)(@OXFC.png

这里有三个全局变量,updata_flag,run_spyware_flag以及lockpage_flag,检测这几个flag位是否正常,特别注意的是lockpage_flag,要是此标志位不为1,则表示加密的url位正常解密,则会再次执行锁首逻辑。

额,大部分的功能都阐发完了,一部分以为没必要的就省去了,还有一部分阐发的不透,也没写上了,内核这块照样不太熟识,大佬们勿喷。

*

您可能还会对下面的文章感兴趣: