欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Kronos恶意软件研究(part 1)

来源:本站整理 作者:佚名 时间:2017-09-04 TAG: 我要投稿

而后发送一大块数据:
 

经由进程阐发这两个哀求,咱们发明歹意软件作者应用带有随机字符的XOR操纵对哀求做了混杂处置。下图是标识字段颠末XOR解码后的模样:
 

咱们发明歹意软件收回的一切哀求都因此固定的数据头开端,该数据头中包括了被沾染机械的GUID。
对于解密Kronos通讯的详细研讨曾经在这里停止了描写。
风趣的字符串
像大多数歹意软件同样,Kronos歹意软件应用了各类加壳和加密对象。阐发第一层数据以后后,咱们得到了歹意软件的payload。咱们可以或许经由进程典范的字符串轻松辨认Kronos:
 

该歹意软件中有更多典范的字符串可以或许用来标识它:
 

这些字符串是一些哈希值,用于静态加载特定导入模块中的函数。歹意软件作者应用这类办法来混杂应用的API函数,并经由进程这类办法暗藏其对象的真正用意。该歹意软件不应用显式称号来加载函数,它经由进程罗列特定DLL中的一切导入,盘算其称号的hash值,假如hash与硬编码值婚配,则加载该函数。只管这类做法很罕见,但Kronos的实行其实不“高超”。大多数歹意软件以DWORD情势的hash存储,而Kronos将它们存储为字符串。
在Kronos的晚期样本中,咱们可以或许找到调试标记的门路,该调试标记信息提醒构建代码的机械上的目次布局。以下门路是从一个Kronos的样本(01901882c4c01625fd2eeecdd7e6745a)中提取的:

C:\Users\Root\Desktop\kronos\VJF1\Binaries\Release\VJF.1.pdb
PDB门路也可以或许从属于2014年Kronos刊行版的DLL(6c64c708ebe14c9675813bf38bc071cf)中找到:

C:\Users\Root\Downloads\Kronos2\VJF1\Bot\injlib\bin\injlib-client-Release\injlib-client.pdb
injlib-client.dll这个模块是注入到浏览器中的部门模块代码。在较新版本的Kronos中,可以或许找到类似的DLL,然则PDB门路被删除。
注入svchost
Kronos的重要模块被注入到svchost进程(从2014年开端注入到explorer进程当中)。歹意软件经由进程履行以下步调来实现这类注入:
1. 创立挂起的svchost进程
2. 将其部门代码映照到本身的地点空间中
3. 增加本身的代码并改动进口点,以便重定向履行本身的代码
4. 规复挂起的进程,让注入的代码履行
经由进程上面的图,咱们可以或许看到被沾染的svchost进程的内存散布情况(在晚期版本中,歹意代码被注入到浏览器中),歹意软件被增加到一个新的、虚构的PE节中-在给定的示例中,映照地点为0x70000:
 

上图便是改动svchost进程进口点后的成果,咱们可以或许看到,履行被重定向到PE文件节内的地点中去了:
 

注入的PE文件如今以分歧的函数开端履行:
 

歹意软件的原始进口点地点为RVA 0x12F22:
 

假如歹意软件在检测到在VM或调试器的情况下运转,样本则会在注入后不久瓦解。
从新的进口点运转样本
歹意软件的重要操纵在注入模块外部启动,下图所示为样本的新进口点:
 

重要功效是卖力加载导入歹意软件所需的模块,而后履行导入的各个功效。
 

从上图可以或许看出,函数的第一块代码重如果卖力填写注入模块的导入表。假如咱们想要从新的进口点运转样本,而不是在样本注入后,咱们必要存眷上面一些工作:起首,装载器应当在注入的可履行文件中添补一些变量,比方module_base变量。由于其余函数必要应用这些变量,假如不包括有用值,歹意软件样本在运转时会瓦解。别的,导入表中(除.rdata节)添补的函数必要设置为可写,这是由于完备的PE文件以RWX拜访权限映照到内存中,因此歹意软件样本在注入以后也必要被设置为可写入。
实在,从主函数的下一个代码块也可以或许胜利运转Kronos样本,在这类情况下Windows加载法式会主动添补导入表,而不必要咱们手动的去履行添补操纵。

上一页  [1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载