为什么要写文章,因为T4x0r是其中的受害者,呜呜呜呜呜呜呜哭唧唧,当时正好打境外目标,连内网还用的这玩意
HashRun安全团队致力于:渗透测试,CTF,安全研究,二进制
师傅们也知道这个爆后门了,具体分析如下
这个可能有点不完整,因为后门地址已经连不上了,注入的式winver.exe不是svhost,shellcode也无,木马回连地址死了,也不能动态调试了
非常感谢HashRun安全团队的n00bzx师傅
压缩包包含这些文件:
木马主程序MobaXtermPersonal.exe.
主函数为start中的第一次调用.可以看到花指令混淆.
getmdb函数即为0x407ad8,跟进其中0xac36e5.
smc修改代码,并跳转执行.
接下来的代码中,
读取at.mdb.
异或0x19解密.
可以得知,解密后的at.mdb为一个exe程序.
加载该exe.
拖进ida,发现逻辑十分简单.创建线程,函数一目了然:
下载3dsystem.exe和新的at.mdb,并执行命令行3dsystem.exe /f at.mdb.
3dsystem.exe中也有和外壳一样的smc.
解密新的at.mdb,包含多个pe文件.先执行其中第一个dll文件(Gh0st后门).
之后的pe文件包括64位和32位rdpwrap程序,64位和32位提权dll.
提权使用开源工具,链接
https://www.pretentiousname.com/misc/win7_uac_whitelist2.html.
rdpwrap配置加载:
Gh0st pdb路径:
Gh0st后门有一定的修改:
向www.supbrowser.com上传一些东西.
自我复制at.mdb,3dsystem.exe至用户目录下,写入Regeqw.log
检测是否运行杀毒软件,并结束进程.
注册自身为服务.
启动服务.
复制自身到公用目录下,名为DirectXh.exe.
监视键盘并发送到xumming.net
读取1扇区中的信息并发送
复制自身到system32目录下
将自身伪装成directx运行库.
读取资源中的shellcode,注入winver.exe.
由于程序无法运行(木马服务器关了,无法下载及上传),但是通过代码里窗体创建,窗体标题,以及js执行,可以猜测有一个钓鱼的登录界面.
发送昵称到木马服务器.
分析结束
想加团队公开群的师傅加V拉群,因为200+之后只能邀请拉群了
原文始发于微信公众号(HashRun安全团队):MobaXtermPersonal后门详细分析
