首页
论坛
专栏
课程

[病毒木马] [原创]浅析:网友说的过火绒的远控到底是何方神圣?_CatGames

2019-5-25 00:43 3839

[病毒木马] [原创]浅析:网友说的过火绒的远控到底是何方神圣?_CatGames

2019-5-25 00:43
3839

【文件名称】:DNF5天号解封教程.exe

【HA256】   :3504ec84a6efb00010064e3abb1d0ae5e38883ce0abbd7c1ad7245eeb3a05bcd

【运行环境】:win7

【远控服务器】:腾讯云——132.232.36.190

【使用工具】:OD WINHEX PEID EXEINFO Malware Defender

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

今日有网友在群里诶特我说有个远控可以过火绒 火绒查不出来 索性就下载来看看


-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

0x00 
上手先查壳然后发现没壳(听说过火绒????)



我寻思第一眼看上去没啥子区别呀


DNF5天号解封教程.exe 样本行为

键盘记录



写入文件 C:\Users\ADMINI~1\AppData\Local\Temp\\csrss.exe



通过对这个主程序的分析 主要敏感的行为还是只有这一个文件写入的动作 所以我把目光放在了csrss.exe这个被写入的文件

Csrss.exe分析


可以看到作者把他伪装成了一个360安全卫士的隔离区模块

但是具体真是这样吗?

查壳后发现是UPX的(咋干坏事都用UPX呢?)


UPX脱壳方法就不说了 上脱壳机就完事了


GOGOGO GKD!


-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

0x01

Csrss.exe样本行为

获取系统信息


设置数据跟踪


创建服务并写入Bat


但是发现了一点问题 这本是一个批处理 但是怎么会有DOS头????还有区段????

接着看

创建服务



创建服务



然后接着程序自动退出!!!


并且删除自身


-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

0x02

Shennong.bat行为分析

当时我看到这个东西的时候我人都傻了 我读书少别骗我 Bat文件有Dos头????



这是我自己弄的一个exe


改成Bat之后一样可以查到编译器等信息



这是一个真Bat


那么具体就看看这个到底做了什么吧!!!

创建服务



跟那个exe是同样的操作



通过抓包知道了这玩意是远控



真就是得不到就远控呗

创建服务就是为了持久性控制受害者电脑呗

这个Bat反正用户关掉就自动重启 关掉就自动重启 持久性的控制

比起远控 我更好奇沙雕网友说的 火绒不检测

运行流程



-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

0x03

杀软免杀测试,毕竟实践出真知!

为了模拟最真实的测试情况,直接运行程序和扫描样本 不提取等操作

1. 腾讯电脑管家

指定扫描


直接运行


2.360安全卫士

指定位置扫描


直接运行


3.重头戏 火绒安全卫士

指定位置扫描


直接运行


这...沙雕网友。。

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

后记—00x00x00x00

这个远控告诉我们,泡妞别光等,别光买礼物,买完礼物表白失败也不要紧,得不到就远控!


CatGames的小窝
GLHF!

感谢:LoneMonster指点
感谢:眠call倚无暇的表情包


推荐一下弟弟写的自闭脚本

学这个shell脚本也就学了半天 这玩意也就写了半天 渗透大佬看看就好 

拥有一键自动化攻击 一键设置永恒之蓝 一键设置漏洞扫描 一键设置监听 一键设置Payload 一键Nmap扫描等......
演示视频



[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最后于 2019-5-25 00:54 被CatGames编辑 ,原因:
上传的附件:
最新回复 (23)
冰雪冬樱 2019-5-25 00:50
2
0
一般般
CatGames 6 2019-5-25 00:51
3
0
冰雪冬樱 一般般
你是住在看雪吧 我的天 快把你雪B和点赞给我交咯
CatGames 6 2019-5-25 00:51
4
0
弟弟睡觉了 记得把你的雪B和点赞给我交了
小艾 1 2019-5-25 00:55
5
0
来自大表哥的警告 -> 牢饭真香
黑洛 1 2019-5-25 01:10
6
0
远控?哦 那没指标就找他凑咯?
CatGames 6 2019-5-25 01:24
7
0
黑洛 远控?哦 那没指标就找他凑咯?
CatGames 6 2019-5-25 01:25
8
0
黑洛 远控?哦 那没指标就找他凑咯?
看样本8 没什么好说的
如斯咩咩咩 2019-5-25 02:36
9
0
我把雪币给您交了
hzqst 3 2019-5-25 06:54
10
0
一键点赞素质三连
Lixinist 1 2019-5-25 08:34
11
0
有样本就好,可以拿来学习
Maccha 2019-5-25 11:34
12
0
我把雪币给您交了
icesnowwise 2019-5-25 11:43
13
0
0708那个能用,还是说是只能针对xp 和03 那个?
CatGames 6 2019-5-25 14:15
14
0
icesnowwise 0708那个能用,还是说是只能针对xp 和03 那个?
试试吧 我反正win7没成功 不知道为啥
CatGames 6 2019-5-25 14:16
15
0
Maccha 我把雪币给您交了
谢谢大哥
CatGames 6 2019-5-25 14:16
16
0
hzqst 一键点赞素质三连
谢谢大哥
CatGames 6 2019-5-25 14:16
17
0
如斯咩咩咩 我把雪币给您交了
谢谢大哥
MsScotch 2019-5-27 09:49
18
0
建议报告前面加上一个清晰的流程图,现在这样的报告没法看。
liguojin 2019-5-27 11:07
19
0
【】】】
最后于 2019-5-27 11:07 被liguojin编辑 ,原因:
Rookietp 2019-5-27 12:53
20
0
易语言的吧。不讲道理直接报毒就是对的
最后于 2019-5-27 12:53 被Rookietp编辑 ,原因:
CatGames 6 2019-5-27 15:06
21
0
MsScotch 建议报告前面加上一个清晰的流程图,现在这样的报告没法看。
具体流程图指的是病毒运行流程图还是类似目录那种
MsScotch 2019-5-27 19:37
22
0
CatGames 具体流程图指的是病毒运行流程图还是类似目录那种
流线图示,这个病毒式什么,运作方式是怎样的,怎样建立可控IOC等
木Y 2019-5-29 18:27
23
0
游客
登录 | 注册 方可回帖
返回