记一次2022某地HVV中的逆向分析
声明:本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。
前言
事情是这样的,国庆前期某地HVV,所以接到了客户通知他们收到了钓鱼邮件想要溯源
直接下载文件逆向分析一波。钓鱼邮件,图标什么的做的还是挺逼真的,还真的挺容易中招的,但是这里的bug也明显,丹尼斯没有客户端,百度一下能够辨别这是钓鱼的。
逆向分析
查壳工具DIE看是否加壳
当然其他查壳工具也可以exeinfope等,看到的东西不一样
可以看到是64位的应用,无壳,IDA静态分析
直接进入主函数,直接F5逆向main函数c代码
【----帮助网安学习,以下所有学习资料免费领!加weix:yj009991,备注“ csdn ”获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
主函数中使用的函数比较少
int __cdecl main(int argc, const char **argv, const char **envp)
{HRSRC ResourceW; // rbxHGLOBAL Resource; // rbpsigned int v5; // eaxsize_t v6; // rsisize_t v7; // rcxvoid *v8; // rdiResourceW = FindResourceW(0i64, (LPCWSTR)0x66, L"DATA");Resource = LoadResource(0i64, ResourceW);v5 = SizeofResource(0i64, ResourceW);v6 = v5;v7 = (unsigned int)(v5 + 1);if ( v5 == -1 )v7 = -1i64;v8 = malloc(v7);memset(v8, 0, (int)v6 + 1);memcpy(v8, Resource, v6);sub_140001070(v8);return 0;
}
简单来看就是先查找资源,DATA应该为加密的shellcode,加载资源赋
给Resource,计算资源空间大小,malloc分配空间大小,memset 将申请的内存初始化为0,memcpy函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址中,跟进sub_140001070
可以看到反汇编之后在第52行创建进程,在56行分配虚拟内存,60行写入内存,61行创建线程,这里创建的线程即为恶意进程。这里使用动态调试x96dbg验证我们的分析另外,需要分析一下外联的地址以及注入的进程是什么,64位的应用使用x64dbg,依次下断点
简单计算一下地址,IDA的起始地址为00000001400015C4
FindResourcew地址为00000001400015C4
在x64dbg中找到起始地址00007FF638B915C4
根据偏移量跳转下断点
F7按步调试
在loadResource函数中追踪内存
这里加载的是DATA的内容,即为加密的shellcode,我们直接用Resouce hacker直接查看一下恶意进程dennis.exe的DATA内容
说明我们的分析没有问题,继续向下调试
因为这个应用比较小,所以代码量也不大,f5反编译之后可以直接找到函数下断点,这里不需要计算偏移量了,计算方法跟上面差不多。
调试走到这里,可以发现走的是循环
可以明显的看到有xor异或指令,这里对shellcode即DATA的内容做异或,异或的对象为byte ptr指向的地址,内存数据为key,那么key的内容为
因为是按字节异或所以这里异或的内存应该为78,整个循环异或的key应该为12345678,shellcode加密的时候应该用的key为12345678加密的,所以这里解密使用key去解密,跳出循环RIP一下,到断点CreateProcessW
可以清晰的看到注入的进程为C:\\windwos\\system32\\svchost.exe,向下调试
申请虚拟空间内存,然后向下为写入内存
解密完成后写入内存,所以在这里是可以看到外联的ip地址或者说是域名的,这里使用的是ip,查询之后发现是腾讯云的服务器。
在向下就是创建进程起服务svchost.exe了
小结
钓鱼使用的服务器ip地址是某云,怕是可以溯源到本人的真实身份了吧,毕竟现在国内运营商都需要实名,如果用的国内域名也都是实名的不管是否有CDN,不过这种级别的HVV也没必要。第一次逆向分析,多亏了大佬指点,步履维艰,如有错误欢迎指出。
记一次2022某地HVV中的逆向分析相关推荐
- 记一次定位解决SpringBoot中内嵌Tomcat的Bug问题
你知道的越多,不知道的就越多,业余的像一棵小草! 你来,我们一起精进!你不来,我和你的竞争对手一起精进! 编辑:业余草 segmentfault.com/a/1190000038760707 推荐:h ...
- 【2022年】中科大研究生-考试题、复习资料汇总(往年真题+复习资料)(持续更新中)
[2022年]中科大研究生-考试题.复习资料汇总(往年真题+复习资料) 0.前言 致电饭煲们: 大家好,感谢大家私信中的建议以及鼓励,针对私信中资料更新的问题,博主会在此专栏更新最新版的复习资料,资料 ...
- Python爬虫及其它函数知识读记及简单用法,持续更新中...
Python爬虫相关函数知识读记及简单用法,持续更新中- requests [riˈkwests] n. 请求,要求( request的名词复数 ): 需要: 所请求的事物: 申请书 函数或单词- 音 ...
- 2022年江西省中职组“网络空间安全”赛项模块A解析
2022年山西省中职组"网络空间安全"赛项模块A解析 A模块基础设施设置/安全加固(200分) A-1:登录安全加固 A-2:Web安全加固(Web) A-3:流量完整性保护与事件 ...
- 2022年江西省中职组“网络空间安全”赛项模块B解析
2022年江西省中职组"网络空间安全"赛项模块B解析 模块B 网络安全事件响应.数字取证调查和应用安全(400分) B-1:系统漏洞利用与提权 B-2:Linux操作系统渗透测试 ...
- html中锚记标记的隐藏,在 Dreamweaver 中选择、查看和设置不可见元素 - Dreamweaver 用户指南...
选择哪些元素应设置为可见,然后单击"确定". 注意:对话框中元素名称旁边的选中标记表示当选择"查看">"可视化助理">" ...
- 2022年山东省中职组“网络安全”赛项比赛任务书-1
2022年山东省中职组"网络安全"赛项 比赛任务书-1 一.竞赛时间 总计:360分钟 竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 A模块 A-1 登录安全加固 180 ...
- 2022年山东省中职组“网络安全”赛项比赛任务书-2
2022年山东省中职组"网络安全"赛项 比赛任务书-2 一.竞赛时间 总计:360分钟 竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 A模块 A-1 登录安全加固 180 ...
- 2022年 HSC-1th中CRYPTO的RSA
2022年 HSC-1th中CRYPTO的RSA 照例下载附件,是 py 文件: import gmpy2 import sympy from Crypto.Util.number import *f ...
最新文章
- eplices如何导入外部代码_java环境配置的理解
- 怎么把写好的python代码打包成exe-详解如何将python3.6软件的py文件打包成exe程序...
- DC workshop指导篇1- Setup and Synthesis Flow
- 叶琰:AI压缩技术在追上传统编码技术
- html5中音乐播放器怎么写,打造属于自己的音乐播放器 HTML5之audio标签
- leetcode 85. 最大矩形(dp)
- 190906描述笔记
- Mysql学习总结(35)——Mysql两千万数据优化及迁移
- C#重写WebBrowser组件,禁止跳转到IE新窗口、脚本错误
- office2007过期后没有输入序列号对话框的激活方法
- usb调试助手_米卓同屏助手 | 刷短视频必备,一键打通“任督二脉”,双端
- Android获取半透明属性
- 2020-2021 年度广东省职业院校学生专业技能大赛网络空间安全赛项竞赛规程
- python批量裁剪图片
- python中selenium关于滚动条的循环下拉滚动操作---滚动条操作
- 使用dreamweaver制作采用DIV+CSS进行布局——美食甜品店铺加盟企业HTML静态网页 ——学生美食网页设计作品静态HTML网页模板源码
- Windows编程 第四回 Windows程序的生与死(下)
- Huggingface简介及BERT代码浅析
- vxwork任务切换分析
- PL/SQL 入门学习(一)