前幾天晚上閑來無事,朋友給了我一個445批量工具,可能有后門程序,讓我分析一下。經過分析我發現后門位于dll文件中,抓雞大牛們要小心了。
0×01 分析過程
文件結構如下:
程序的運行過程很簡單,運行bat文件,就是掃描445端口,然后利用eternalblue攻擊,再加載payload的dll文件。那么后門在哪呢?
在這個dll文件中,大魚吃小魚。好,分析一下這個dll文件,沒加殼。看下dll入口函數:
這是dllmain函數:
我們可以看到調用了sub_10001160()這個函數,跟一下看看:
這是什么意思呢?增加賬號可以理解,下邊的Sleep,WinExec這是要干什么?我們讓程序sleep,接著執行c:\users\m.exe這個文件。這個m.exe是怎么來的,可以看到上邊有個調用sub_100001020(),跟進去看一下:
從這個網站上下載xzz.exe文件,然后再執行,看看這個網站有什么東西。
東西不少,下載xzz.exe分析一下。首先釋放如下文件,并執行這些文件。
反編譯888.exe,發現,888.exe從資源CPP里讀取文件,寫入到磁盤里,名字是隨機數字的dll,就是圖中的5586317.dll,也是老思路了。
利用dll加載工具,首先加載運行dll文件,之后創建文件并運行w3wp.exe。
利用w3w.exe加載5586317.dll,創建服務。
反編譯5586317.dll,可以看到動態加載各種dll,動態調用函數,免殺常用手段。
創建系統服務,名字是w3wp,描述為Microsoft Corporationot。發起網絡連接,遠控反彈。
反彈到8881端口w3wp.exe發起的,反彈到6543端口是svchost.exe*32發起的。
可以看到svchost也加載了5586317.dll文件 ,另一個svchost加載了Mick.exe文件。
反編譯Mick.exe,簡單分析一下。發現這個程序在c盤根目錄記錄了log,也寫入了服務,反彈端口。
| 
