免杀工具包_飞鹰免杀工具包


警惕“永恒之蓝”抓鸡套装中的后门

背景

前几天朋友给了我一个445批处理工具,里面可能有后门程序。我来分析一下。经过分析,我发现后门位于dll文件中,抓鸡人要小心了。

分析过程

文件结构如下:

程序的运行过程非常简单。运行bat文件就是扫描445端口,然后使用eternalblue攻击,然后加载payload的dll文件。那么后门在哪里呢?

在这个dll文件中,大鱼吃小鱼。好了,分析这个dll文件,没有外壳。再看dll入口函数:

这是dllmain函数:

我们可以看到调用了sub_()这个函数,跟一下看看:

这是什么意思呢?增加账号可以理解,下边的Sleep,WinExec这是要干什么?我们让程序sleep,接着执行c:usersm.exe这个文件。这个m.exe是怎么来的,可以看到上边有个调用sub_(),跟进去看一下:

从这个网站上下载xzz.exe文件,然后再执行,看看这个网站有什么东西。

东西不少,下载xzz.exe分析一下。首先释放如下文件,并执行这些文件。

反编译888.exe,发现,888.exe从资源CPP里读取文件,写入到磁盘里,名字是随机数字的dll,就是图中的.dll,也是老思路了。

利用dll加载工具,首先加载运行dll文件,之后创建文件并运行w3wp.exe。

利用w3w.exe加载.dll,创建服务。

反编译.dll,可以看到动态加载各种dll,动态调用函数,免杀常用手段。

创建一个名为w3wp并描述为Microsoft Corporationot的系统服务。启动网络连接并远程控制反弹。

反弹到8881端口w3wp.exe发起的,反弹到6543端口是svchost.exe*32发起的。

可以看到svchost也加载了.dll文件 ,另一个svchost加载了Mick.exe文件。

反编译Mick.exe,简单分析一下。发现这个程序在c盘根目录记录了log,也写入了服务,反弹端口。

我们可以看到Mick.exe是用于守护的。守护w3wp.exe进程。一旦杀掉w3wp进程,w3wp还会启动。

总结

大体的关键文件分析完了,这个工具包里的dll文件在完成表面的增加账号任务后,会接着进行后门安装从黑客网站上下载xzz.exe文件,释放木马程序安装服务,并且有守护进程。

* 本文作者:msx2009,