针对某远控黑吃黑的一次技术分析

引子

最近在逛Zoomeye的时候,发现了一个很有趣的服务器,他部署着HFS的服务,但是上面却有很多1.xxMB的EXE文件,直觉告诉我这肯定是一个大黑阔的远控服务器,那当然既然已经看到了,就不能轻易放过他,他的HFS版本为一个存在漏洞的版本,由于文章关系,如何提权HFS不再赘述,倒是在他服务器上的确发现了一个远控和一只鸡,看起来是个新手,我把远控下载了下来,扔到我的万能XP虚拟机里,准备看看这个远控是怎么回事

此篇文章只做技术分析,请勿伸手,谢谢合作

分析

这个这个远控所包含的文件
很多dalao看图标就已经能猜出来是哪个远控源码了,这里我们直接开始分析

注意,此次开启没有生成任何木马,下面写的是他自动运行的木马

发现CPU突然飙到100%,并且死死的卡在那
到这,我初步判定他是一个挖矿木马,但是它连接到的这个IP是什么呢?
万能的微步啊!赐予我力量吧(不是
很明显,这是一个矿池
矿池确认,我们回到XP虚拟机
看到最下面的进程了吗?他被感染了
我们可以看到,这个Synaptics.exe在胡作非为,他伪装成了一个触控板驱动
整个系统被感染了,可以看到,Explorer和我用的PExplore都被捆绑上了
但这并不妨碍我们继续分析
我挂起了挖矿木马进程,并尝试清除了感染(到一个不会中断分析的地步)
他的详细信息,英文的,因为中文的PExplorer.exe会被杀
让我们看下中英对照版本
根据上图,可以发现,木马写了自启动
详细的自启动信息
我们可以通过Pexplorer直接看到木马的启动方式,打开注册表,找到对应项目
可以发现,木马是通过写注册表启动的(这比服务启动更有效,个人感觉)
他的启动路径
木马写到了System32下面,如果你对挖矿比较熟悉的话,你应该能看懂这几个文件和文件夹是做什么的
这样似乎更明显?有懂挖矿的小伙伴直接评论吧
有趣的是他是一个自解压exe,里面的内容让我对这个exe的身份更加确定了
旁边还有个DLL,我尝试用记事本打开它
一个远控dll,为exe提供远控支持
看看这些函数,啧啧~这作者也真的是可以,不仅要榨干你机器的CPU,还要取得机器的控制权
考虑到小白可能看不大懂,我们简单介绍下这些函数吧
远控的常用函数,C语言
最后,用一张全盘感染前后的对比结束分析部分
可以看到,感染之后,_Cache还被加了一个数字签名,有意思
被感染之后添加的数字签名

找人

必定要找找原作者是谁啊,这喝完血又吃人骨头的垃圾远控作者
这个所谓的**帝国并不是真的,而是一个仿冒的,现在还可以访问
让我们去该论坛搜索关键词
是第一个,V2.0版本
打开帖子,看看是谁发的
还是个管理员,发出来不超过两个月
根据页面信息,发现确实和我们这个一样,遂结束本次分析
最后,附上一张回复下载的回复页数
回帖数量可观啊,这后门狗估计赚了超级多的钱

作者:二宝
感谢你阅读完此文

Last modification:December 3rd, 2019 at 10:50 pm
如果你认为我的文章为您提供了一些有用的信息或建议,请支持我

4 comments

  1. test

    。。。所以你分析出啥了= =

    1. erbao
      @test

      EBUbuntu123@hotmail.com

    2. erbao
      @test

      这篇文章我只是想做个记录,如果二位大佬有什么更好玩的分析招数请发我邮件,我可以给抓到的样本
      ,反正这篇文章我码了40多分钟吧,做个记录,觉得还是挺有意思的,我入门那会(脚本小灶)估计也用过这类后门远控OωO

    3. mrq
      @test

      看破不戳破 黑暗深林法则

Leave a Comment