锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务
topFlag1 设为首页
topFlag3 收藏本站
 
maojin003 首 页 公司介绍 服务项目 服务报价 维修流程 IT外包服务 服务器维护 技术文章 常见故障
锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务技术文章
警惕“永恒之蓝”抓鸡工具包里的后门

作者: 佚名  日期:2017-06-06 19:43:08   来源: 本站整理

 前几天晚上闲来无事,朋友给了我一个445批量工具,可能有后门程序,让我分析一下。经过分析我发现后门位于dll文件中,抓鸡大牛们要小心了。
0×01 分析过程
文件结构如下:

 
程序的运行过程很简单,运行bat文件,就是扫描445端口,然后利用eternalblue攻击,再加载payload的dll文件。那么后门在哪呢?

 
在这个dll文件中,大鱼吃小鱼。好,分析一下这个dll文件,没加壳。看下dll入口函数:

 
这是dllmain函数:

 
我们可以看到调用了sub_10001160()这个函数,跟一下看看:

 
这是什么意思呢?增加账号可以理解,下边的Sleep,WinExec这是要干什么?我们让程序sleep,接着执行c:\users\m.exe这个文件。这个m.exe是怎么来的,可以看到上边有个调用sub_100001020(),跟进去看一下:

 
从这个网站上下载xzz.exe文件,然后再执行,看看这个网站有什么东西。

 
东西不少,下载xzz.exe分析一下。首先释放如下文件,并执行这些文件。

 
反编译888.exe,发现,888.exe从资源CPP里读取文件,写入到磁盘里,名字是随机数字的dll,就是图中的5586317.dll,也是老思路了。

 

 

 
利用dll加载工具,首先加载运行dll文件,之后创建文件并运行w3wp.exe。
利用w3w.exe加载5586317.dll,创建服务。

 
反编译5586317.dll,可以看到动态加载各种dll,动态调用函数,免杀常用手段。

 

 
创建系统服务,名字是w3wp,描述为Microsoft Corporationot。发起网络连接,远控反弹。

 
反弹到8881端口w3wp.exe发起的,反弹到6543端口是svchost.exe*32发起的。
可以看到svchost也加载了5586317.dll文件 ,另一个svchost加载了Mick.exe文件。

 

 
反编译Mick.exe,简单分析一下。发现这个程序在c盘根目录记录了log,也写入了服务,反弹端口。



热门文章
  • 机械革命S1 PRO-02 开机不显示 黑...
  • 联想ThinkPad NM-C641上电掉电点不...
  • 三星一体激光打印机SCX-4521F维修...
  • 通过串口命令查看EMMC擦写次数和判...
  • IIS 8 开启 GZIP压缩来减少网络请求...
  • 索尼kd-49x7500e背光一半暗且闪烁 ...
  • 楼宇对讲门禁读卡异常维修,读卡芯...
  • 新款海信电视机始终停留在开机界面...
  • 常见打印机清零步骤
  • 安装驱动时提示不包含数字签名的解...
  • 共享打印机需要密码的解决方法
  • 图解Windows 7系统快速共享打印机的...
  • 锦州广厦电脑上门维修

    报修电话:13840665804  QQ:174984393 (联系人:毛先生)   
    E-Mail:174984393@qq.com
    维修中心地址:锦州广厦电脑城
    ICP备案/许可证号:辽ICP备2023002984号-1
    上门服务区域: 辽宁锦州市区
    主要业务: 修电脑,电脑修理,电脑维护,上门维修电脑,黑屏蓝屏死机故障排除,无线上网设置,IT服务外包,局域网组建,ADSL共享上网,路由器设置,数据恢复,密码破解,光盘刻录制作等服务

    技术支持:微软等