静态信息:
样本md5:9b656f5d7e679b94e7b91fc3c4f313e4
由此可见为假的Adobe Flash Player 的攻击样本
样本分析
通过五个函数,内部调用sub_40159D函数动态获取API函数
利用IDA python解密字符串。。
完整python代码
Python> idc.get_segm_name(here())
'.text'
Python> idc.GetDisasm(here())
'call sub_405060'
Python>idc.print_insn_mnem(here())
'call'
Python>idc.print_operand(here(),0)
'sub_405060'
Python>idc.print_operand(here(),1)
''
idc.get_operand_value(ea,n)获取操作数的值。
完整python代码
from idaapi import *
import idc
from idaapi import *
import idc
def get_string(addr):
out = ""
while True:
if Byte(addr) != 0:
out += chr(Byte(addr))
else:
break
addr += 1
return out
def get_stringlen(addr):
out = ""
while True:
if idc.get_wide_byte(addr)!= 0:
out += chr(idc.get_wide_byte(addr))
else:
break
addr += 1
return addr
def get_function_argv(addr):
for x in range(4):
addr = idc.prev_head(addr)
print("%08x" %addr)
if idc.print_insn_mnem(addr) == "push" and "offset" in idc.print_operand(addr,0):
print("GET success")
print("%08x" %addr)
return idc.get_operand_value(addr,0)
else :
print("NO")
def get_retn(addr):
for x in range(4):
addr = idc.next_head(addr)
if idc.print_insn_mnem(addr) == "mov":
print("retn success")
print("%08x" %addr)
return idc.get_operand_value(addr,0)
else :
print("NO")
def Mydecrypt(stringstart,stringend):
output = ""
for i in range(stringstart,stringend):
v3 = idc.get_wide_byte(i)
print(v3)
if idc.get_wide_byte(i)<97 or v3 > 122:
continue
if idc.get_wide_byte(i) < 101 or v3 >106:
if idc.get_wide_byte(i)<116 or v3 >121:
continue
v4 = v3 - 15
else :
v4 = v3 +15
ida_bytes.patch_byte(i,v4)
for i in range(stringstart,stringend):
output += chr(idc.get_wide_byte(i))
return output
danger_funcs = ["getapi"] # 需要寻找的函数名
for func in danger_funcs:
addr = get_name_ea_simple( func )
print("call sub_40159D:%08x" %addr)
cross_refs = CodeRefsTo( addr, 0 )
for addr in cross_refs:
print("..................")
print( "%08x" % addr)
print("get_function_argv start")
stringstart = get_function_argv(addr)
print( "%08x" %stringstart)
stringend = get_stringlen(stringstart)
result = Mydecrypt(stringstart,stringend)
print(result)
idc.set_cmt(stringstart, result, 0)
idc.set_name(stringstart, result, SN_FORCE)
print("..................")
apiaddr = get_retn(addr)
print("%08x" %apiaddr)
idc.set_name(apiaddr, result, SN_FORCE)
已经被修改,伪代码没修改过来,N -> create name anyway,这样就方便静态分析了
调用GetModuleFileName获取当前的运行进程路径并将其写入到Run注册表中以实现本地持久化,写入的注册表键值为msnconf
继续跟到sub_402811函数:
再次调用五个函数动态获取API函数地址
sub_4021EE:
打开文件成功就读取文件到dword_40B498,buffer:0040AEB0,大小0x36Eu,打开文件失败则,memset对dword_40B498地址后0x36Eu大小 区域置零,
地址布局:
从unk_40B5A2开始,每0x10填充一个02
之后将IP和端口填充到前面用02分割的内存空间中,填充的02是connect参数sockaddr结构体中的sa_family。
int main( )
{
printf("%d /n",htons(16));
return 0;
}
得到的结果是4096
解释如下,数字16的16进制表示为0x0010,数字4096的16进制表示为0x1000。 由于Intel机器是小尾端,存储数字16时实际顺序为1000,存储4096时实际顺序为0010。因此在发送网络包时为了报文中数据为0010,需要经过htons进行字节转换。
数字所占位数小于或等于一个字节(8 bits)时,不要用htons转换
sub_402E9C:根据时间因子得到随机数,加上地址,可以从5个ip中随机获取一个,建立socket连接,成功连接尝试向C2发送测试数据,成功,则将0x40B498地址处的内容发送到C2,服务器可根据该请求值判断当前攻击进行到哪一阶段,若失败则休眠60秒后 重新生成随机数再次请求,若第二次请求成功,尝试将0x40B498地址处的内容发送到C2:
成功上线后,向C2发送0x1243451,接收返回值传入Switch_case中
Switch_case:
如果有nls文件
sub_4020F6 :通过时间获得随机数
若本地存在c_126705.nls文件,该地址将指向文件内容
![[SpringCloud] Feign Client 的创建 (一) (四)](https://img-blog.csdnimg.cn/direct/cea8cb2ed00f415fa4195bff1dcc9fc4.png)
