恶意木马历险记

ookkaa 看雪学苑 2024-07-16

起因

之前下载某个软件的时候，有点不对劲，六七百M，但是还是双击打开了，后来这个东西释放/下载了一些木马文件下来，Defender告警了，我才发现有问题，后来github的号都被盗了，非常的气愤，接下来分析一下这个小马。

Sha256
d77f0490f9c921baad0015c1eec2cafe1021814c8c28dee10a93179476fcb366

第一件事，DIE一下。

是C/C++写的，直接IDA，IDA帮我自动跳到main函数。

龙卷风 ? 很好，我就喜欢这种有强度的。

F5先试试水。

很好，不出意料，这个问题修改一下cfg先解决一下。

MAX_FUNCSIZE修改成512K之后，再f5。

很好，完全看不懂(这里其实至少可以看出有bcf在的，bcf也是ollvm里的一种混淆措施，不懂的可以google下，太基础的不讲了)。

先一个个来，先解决平坦化。

虽然看着比较吓人，但是稍微仔细看一下会发现，分发块的TRUE分支对应的真实块。

几乎所有的真实块最后都链接到LoopEnd(LoopEnd是啥可以看一下ollvm的源码,这里不细讲,资料比较多)。

这种类似于标准OLLVM思路处理思路其实比较清楚

定位到StateVar(控制流平坦化的相关概念)被赋值的指令，然后找这个值对应的真实块，然后Patch就好了，但是写代码很吃细节(特别魔改过的ollvm)，因为容易错，特别是大函数，编译器也瞎jb优化，有时候标准的ollvm自动优化成不标准的了。

控制流平坦化处理完之后，f5。

控制流很清晰，但是还是有bcf在，逻辑几乎还是看不了。

接下来处理bcf

仔细研究下，其实每个函数都有2个bcf变量(ollvm好像全局只有2个bcf变量,有点忘了)，用来构造恒成立不等式的，这里有10个，因为他核心的混淆函数只有五个。

我的处理bcf的方式是，因为那个变量不影响运算，我直接把引用这个变量的指令Patch了，举个例子

mov ecx, bogus_10 -> mov ecx, 1

主要目的是让这个ecx寄存器变成常量，让IDA的反编译器来参与优化。

bcf处理完之后，代码也不一定完全能看。

他这个样本还有类似于虚拟寄存器的东西。

这一系列运算都不知道在干嘛。

这种超大的函数，只能借助Proximity browser来借助分析一下调用流(这里有个问题，ida卡的不行，ida只占那么一两百M内存是怎么回事，有几个g可以给他为什么不吃，鼠标移一下就卡好几秒，有没有懂哥)。

这种一看就是shellcode的调用,但是shellcode在哪里呢，这是大问题。

直接定位到CreateThread。

很好，只需要知道这个&v3186[*v3187]在哪里。

很好，静态分析已经到头了(这部分的太多数学运算指令了，有点整不明白，希望大手子来指点下)。

动态调试

其实就是关键的系统API附近打断点，祈祷解密的shellcode在附近就是了(单步去分析这些运算指令也不现实，就跟手动跟VMProtect一样)。

打了好几个地方的断点，无果。

后来在这里附近：

起初我是想知道这些字符串是怎么被运算出来的。

后来发现还要写常量替换，指令合并，不然还是看不懂的(写起来估计也费劲，还不一定有用)。

但是，狗运有点好。

似乎直接在内存中发现了这个shellcode？

savedata dump.bin,00177E40,0x23b000

直接dump出来，上传vt。

很好，说明dump的没问题(但是这部分shellcode具体是怎么来的，其实并没有搞出来)。

二段Shellcode其实比较简单了

https://github.com/adobe/chromium/blob/cfe5bf0b51b1f6b9fe239c2a3c2f2364da9967d7/chrome/browser/webdata/token_service_table.cc#L60

慢慢分析就好了。

肯定是把我chrome的token和cookie偷了。

接下来准备研究一下，在有别人token和cookie的情况下，能做什么事，大伙期待下一篇帖子把。

这篇帖子涉及到的二进制文件和代码会上传到github，下面是链接：

https://github.com/helloobaby/thread-282253-details

看雪ID：ookkaa

https://bbs.kanxue.com/user-home-865434.htm

*本文为看雪论坛优秀文章，由 ookkaa 原创，转载请注明来自看雪社区

# 往期推荐

1、Win10和Win11内存区域划分及动态随机的本质

2、Windows主机入侵检测与防御内核技术深入解析

3、反沙箱钓鱼远控样本分析

4、安全浏览器历史记录数据库解密算法逆向

5、APP小说VIP功能分析

球分享

球点赞

球在看

点击阅读原文查看更多

继续滑动看下一个

看雪学苑

向上滑动看下一个

俄罗斯中国总商会会长：与俄罗斯的支付谈判将很快有结果

为摆平强奸案，派出所所长改笔录称自愿发生性关系

金磊：我们长效在踏踏实实地在做所有的适应症

环球时报驻美记者评青岛公安通报：偏袒女司机过于明显

青岛路虎女：嚣张女妖是那个大神的坐骑？

恶意木马历险记

第一件事，DIE一下。

龙卷风 ? 很好，我就喜欢这种有强度的。

F5先试试水。

MAX_FUNCSIZE修改成512K之后，再f5。

先一个个来，先解决平坦化。

这种类似于标准OLLVM思路处理思路其实比较清楚

控制流平坦化处理完之后，f5。

接下来处理bcf

mov ecx, bogus_10 -> mov ecx, 1

bcf处理完之后，代码也不一定完全能看。

动态调试

savedata dump.bin,00177E40,0x23b000

二段Shellcode其实比较简单了

这篇帖子涉及到的二进制文件和代码会上传到github，下面是链接：

您可能也对以下帖子感兴趣

俄罗斯中国总商会会长：与俄罗斯的支付谈判将很快有结果

为摆平强奸案，派出所所长改笔录称自愿发生性关系

金磊：我们长效在踏踏实实地在做所有的适应症

环球时报驻美记者评 青岛公安通报：偏袒女司机过于明显

青岛路虎女：嚣张女妖是那个大神的坐骑？

生成图片，分享到微信朋友圈

恶意木马历险记

第一件事，DIE一下。

龙卷风 ? 很好，我就喜欢这种有强度的。

F5先试试水。

MAX_FUNCSIZE修改成512K之后，再f5。

先一个个来，先解决平坦化。

这种类似于标准OLLVM思路处理思路其实比较清楚

控制流平坦化处理完之后，f5。

接下来处理bcf

mov ecx, bogus_10 -> mov ecx, 1

bcf处理完之后，代码也不一定完全能看。

动态调试

savedata dump.bin,00177E40,0x23b000

二段Shellcode其实比较简单了

这篇帖子涉及到的二进制文件和代码会上传到github，下面是链接：

您可能也对以下帖子感兴趣

环球时报驻美记者评青岛公安通报：偏袒女司机过于明显