记一次2022某地HVV中的逆向分析
声明:本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。
前言
事情是这样的,国庆前期某地HVV,所以接到了客户通知他们收到了钓鱼邮件想要溯源
直接下载文件逆向分析一波。钓鱼邮件,图标什么的做的还是挺逼真的,还真的挺容易中招的,但是这里的bug也明显,丹尼斯没有客户端,百度一下能够辨别这是钓鱼的。
逆向分析
查壳工具DIE看是否加壳
当然其他查壳工具也可以exeinfope等,看到的东西不一样
可以看到是64位的应用,无壳,IDA静态分析
直接进入主函数,直接F5逆向main函数c代码
【----帮助网安学习,以下所有学习资料免费领!加weix:yj009991,备注“ csdn ”获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
主函数中使用的函数比较少
int __cdecl main(int argc, const char **argv, const char **envp)
{HRSRC ResourceW; // rbxHGLOBAL Resource; // rbpsigned int v5; // eaxsize_t v6; // rsisize_t v7; // rcxvoid *v8; // rdiResourceW = FindResourceW(0i64, (LPCWSTR)0x66, L"DATA");Resource = LoadResource(0i64, ResourceW);v5 = SizeofResource(0i64, ResourceW);v6 = v5;v7 = (unsigned int)(v5 + 1);if ( v5 == -1 )v7 = -1i64;v8 = malloc(v7);memset(v8, 0, (int)v6 + 1);memcpy(v8, Resource, v6);sub_140001070(v8);return 0;
}
简单来看就是先查找资源,DATA应该为加密的shellcode,加载资源赋
给Resource,计算资源空间大小,malloc分配空间大小,memset 将申请的内存初始化为0,memcpy函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址中,跟进sub_140001070
可以看到反汇编之后在第52行创建进程,在56行分配虚拟内存,60行写入内存,61行创建线程,这里创建的线程即为恶意进程。这里使用动态调试x96dbg验证我们的分析另外,需要分析一下外联的地址以及注入的进程是什么,64位的应用使用x64dbg,依次下断点
简单计算一下地址,IDA的起始地址为00000001400015C4
FindResourcew地址为00000001400015C4
在x64dbg中找到起始地址00007FF638B915C4
根据偏移量跳转下断点
F7按步调试
在loadResource函数中追踪内存
这里加载的是DATA的内容,即为加密的shellcode,我们直接用Resouce hacker直接查看一下恶意进程dennis.exe的DATA内容
说明我们的分析没有问题,继续向下调试
因为这个应用比较小,所以代码量也不大,f5反编译之后可以直接找到函数下断点,这里不需要计算偏移量了,计算方法跟上面差不多。
调试走到这里,可以发现走的是循环
可以明显的看到有xor异或指令,这里对shellcode即DATA的内容做异或,异或的对象为byte ptr指向的地址,内存数据为key,那么key的内容为
因为是按字节异或所以这里异或的内存应该为78,整个循环异或的key应该为12345678,shellcode加密的时候应该用的key为12345678加密的,所以这里解密使用key去解密,跳出循环RIP一下,到断点CreateProcessW
可以清晰的看到注入的进程为C:\\windwos\\system32\\svchost.exe,向下调试
申请虚拟空间内存,然后向下为写入内存
解密完成后写入内存,所以在这里是可以看到外联的ip地址或者说是域名的,这里使用的是ip,查询之后发现是腾讯云的服务器。
在向下就是创建进程起服务svchost.exe了
小结
钓鱼使用的服务器ip地址是某云,怕是可以溯源到本人的真实身份了吧,毕竟现在国内运营商都需要实名,如果用的国内域名也都是实名的不管是否有CDN,不过这种级别的HVV也没必要。第一次逆向分析,多亏了大佬指点,步履维艰,如有错误欢迎指出。
记一次2022某地HVV中的逆向分析相关推荐
- 记一次定位解决SpringBoot中内嵌Tomcat的Bug问题
你知道的越多,不知道的就越多,业余的像一棵小草! 你来,我们一起精进!你不来,我和你的竞争对手一起精进! 编辑:业余草 segmentfault.com/a/1190000038760707 推荐:h ...
- 【2022年】中科大研究生-考试题、复习资料汇总(往年真题+复习资料)(持续更新中)
[2022年]中科大研究生-考试题.复习资料汇总(往年真题+复习资料) 0.前言 致电饭煲们: 大家好,感谢大家私信中的建议以及鼓励,针对私信中资料更新的问题,博主会在此专栏更新最新版的复习资料,资料 ...
- Python爬虫及其它函数知识读记及简单用法,持续更新中...
Python爬虫相关函数知识读记及简单用法,持续更新中- requests [riˈkwests] n. 请求,要求( request的名词复数 ): 需要: 所请求的事物: 申请书 函数或单词- 音 ...
- 2022年江西省中职组“网络空间安全”赛项模块A解析
2022年山西省中职组"网络空间安全"赛项模块A解析 A模块基础设施设置/安全加固(200分) A-1:登录安全加固 A-2:Web安全加固(Web) A-3:流量完整性保护与事件 ...
- 2022年江西省中职组“网络空间安全”赛项模块B解析
2022年江西省中职组"网络空间安全"赛项模块B解析 模块B 网络安全事件响应.数字取证调查和应用安全(400分) B-1:系统漏洞利用与提权 B-2:Linux操作系统渗透测试 ...
- html中锚记标记的隐藏,在 Dreamweaver 中选择、查看和设置不可见元素 - Dreamweaver 用户指南...
选择哪些元素应设置为可见,然后单击"确定". 注意:对话框中元素名称旁边的选中标记表示当选择"查看">"可视化助理">" ...
- 2022年山东省中职组“网络安全”赛项比赛任务书-1
2022年山东省中职组"网络安全"赛项 比赛任务书-1 一.竞赛时间 总计:360分钟 竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 A模块 A-1 登录安全加固 180 ...
- 2022年山东省中职组“网络安全”赛项比赛任务书-2
2022年山东省中职组"网络安全"赛项 比赛任务书-2 一.竞赛时间 总计:360分钟 竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 A模块 A-1 登录安全加固 180 ...
- 2022年 HSC-1th中CRYPTO的RSA
2022年 HSC-1th中CRYPTO的RSA 照例下载附件,是 py 文件: import gmpy2 import sympy from Crypto.Util.number import *f ...
最新文章
- python 跳出多重循环
- SQL语句在数据库中是如何执行的
- 整理记录个人面试问题
- es6添加删除class_ES6中常用的10个新特性讲解
- javascript学习系列(17):数组中的find方法
- 前端学习(2135):ES模块化的导出和导入
- 吴军:数学,为人生之题解出漂亮的答案
- (转)Spring Boot(十八):使用 Spring Boot 集成 FastDFS
- 关于蓝桥杯竞赛考试的一些信息~
- 【剑指 offer】(十九)—— 二叉树镜像
- KB954430补丁重复安装失败的解决办法
- MATLAB 在线性代数和高等数学中的应用
- Java二维码的生成以及附加Logo
- linux 内核编程视频
- 单片机课设中期报告_基于单片机的火灾自动报警系统 中期报告
- manjaro Linux yay常用命令整理大全
- 飞塔防火墙常用命令集合
- 微软官方推安全管家,或许不是一场作秀
- 面向对象和面向过程的区别通俗理解
- python中小写字母和数字用什么表示_Python – 检查数字,大写,小写字母和特殊字符的输入...