這篇文章給大家介紹如何進(jìn)行Kris遠(yuǎn)控木馬的簡(jiǎn)單分析，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對(duì)大家能有所幫助。

目前創(chuàng)新互聯(lián)已為1000多家的企業(yè)提供了網(wǎng)站建設(shè)、域名、雅安服務(wù)器托管、網(wǎng)站托管、服務(wù)器租用、企業(yè)網(wǎng)站設(shè)計(jì)、昌樂(lè)網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

前言

分析一個(gè)遠(yuǎn)程控制木馬，它的眾多惡意行為之一是操作注冊(cè)表，實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)，在注冊(cè)表中程序?yàn)樽约好麨镵ris。

一、基本情況

樣本類型：PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed

1.1 程序基本流程

在國(guó)內(nèi)某款知名沙箱系統(tǒng)中對(duì)惡意程序做自動(dòng)分析，歸納出的執(zhí)行流程如下：

圖1：程序的執(zhí)行流程

自動(dòng)分析的結(jié)果，歸納出此惡意程序有如下行為：

1.連接域名jesso.3322.org（59.42.71.178，廣東省廣州市白云區(qū)）

2.釋放名為BJ.exe的可執(zhí)行程序

3.創(chuàng)建進(jìn)程，此進(jìn)程會(huì)創(chuàng)建互斥體，并且連接動(dòng)態(tài)域名

1.2 加殼信息

通過(guò)PEiD檢查出該病毒被加殼，可以使用upx脫殼。本文后面分析的是利用upx對(duì)原程序脫殼后的PE文件。

圖2：通過(guò)PEiD檢測(cè)惡意程序的加殼情況

1.3 注冊(cè)表操作

惡意程序會(huì)創(chuàng)建HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Kris，鍵值為C:\Users\vbccsb\AppData\Local\Temp\sample.exe，此文件為原程序?qū)⒆陨砜截惖竭@個(gè)目錄下，用于來(lái)實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)。

惡意程序還會(huì)檢查注冊(cè)表中是否有360safe，來(lái)判斷宿主機(jī)器中是否安裝了殺毒軟件。

二、網(wǎng)絡(luò)行為

運(yùn)行惡意程序，并用wireshark抓包，發(fā)現(xiàn)惡意程序會(huì)發(fā)起針對(duì)jesso.3322.org的DNS查詢：

圖3：惡意代碼的網(wǎng)絡(luò)行為

但是后續(xù)沒(méi)有實(shí)質(zhì)性的網(wǎng)絡(luò)通信，經(jīng)查，此IP地址仍舊存活但是域名已經(jīng)失效：

圖4：與C2地址的網(wǎng)絡(luò)通信

根據(jù)國(guó)內(nèi)知名安全廠商的威脅情報(bào)顯示，域名和IP地址都是惡意的。

圖5：域名的威脅情報(bào)

圖6：IP地址的威脅情報(bào)

三、程序分析

3.1 Main函數(shù)分析

程序的Main函數(shù)位于0x0040D990，首先會(huì)通過(guò)sub_47866C函數(shù)創(chuàng)建BJ.exe文件，隨后調(diào)用sub_40D950函數(shù)延時(shí)60秒執(zhí)行此文件。

圖7：創(chuàng)建BJ.exe并延時(shí)60s執(zhí)行

程序會(huì)通過(guò)注冊(cè)表查看系統(tǒng)中是否安裝了360安全軟件，如果沒(méi)有安裝，那么就調(diào)用sub_40D630函數(shù)，此函數(shù)用于實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)。

圖8：通過(guò)注冊(cè)表檢查目標(biāo)系統(tǒng)中的360防護(hù)軟件

通過(guò)sub_40D630函數(shù)通過(guò)注冊(cè)表項(xiàng)“SOFTWARE\Microsoft\Windows\CurrentVersion\Run”實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)。

圖9：通過(guò)注冊(cè)表實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)

Main函數(shù)會(huì)連接遠(yuǎn)程網(wǎng)址jesso.3322.org，通過(guò)sub_403300函數(shù)發(fā)起連接。

圖10：連接域名jesso.3322.org

3.2 Switch函數(shù)分析

惡意代碼中的函數(shù)sub_40A050通過(guò)switch結(jié)構(gòu)，實(shí)現(xiàn)了不同的惡意行為分支，即根據(jù)得到的指令，執(zhí)行不同的操作。概述如下：

sub_409C00：創(chuàng)建新用戶并添加到管理員組

sub_408070：提升進(jìn)程權(quán)限

sub_4073E0：竊取系統(tǒng)磁盤(pán)信息并發(fā)送給遠(yuǎn)程主機(jī)

sub_4075A0：竊取桌面信息并發(fā)送給遠(yuǎn)程主機(jī)

sub_407760：竊取音頻設(shè)備信息并發(fā)送給遠(yuǎn)程主機(jī)

sub_407920：擊鍵記錄器

sub_409320：關(guān)閉防火墻

sub_407F80：刪除日志文件

3.2.1 創(chuàng)建新用戶并添加到管理員組

sub_409C00函數(shù)實(shí)現(xiàn)創(chuàng)建新用戶并添加到管理員組的功能：

圖11：用于添加用戶并添加到管理員組的switch分支

通過(guò)調(diào)用函數(shù)NetUserAdd添加用戶賬戶，隨后調(diào)用NetLocalGroupAddMember函數(shù)，將新建的用戶添加到管理員組。

圖12：sub_409C00函數(shù)實(shí)現(xiàn)添加用戶并添加到管理員組的功能片段

3.2.2 提升權(quán)限

sub_408070實(shí)現(xiàn)提升進(jìn)程權(quán)限的功能：

圖13：用于實(shí)現(xiàn)提升權(quán)限的switch分支

通過(guò)OpenProcessToken得到進(jìn)程的令牌句柄，隨后使用LookupPrivilegeValue查詢進(jìn)程權(quán)限，最后用AdjustTokenPrivileges函數(shù)提升權(quán)限。

圖14：sub_408070函數(shù)用于提升進(jìn)程權(quán)限的功能片段

3.2.3 獲取驅(qū)動(dòng)器和磁盤(pán)卷信息并發(fā)送給遠(yuǎn)端主機(jī)

sub_4073E0函數(shù)用于獲取磁盤(pán)以及驅(qū)動(dòng)器的信息并發(fā)送給遠(yuǎn)端系統(tǒng)。它最終通過(guò)sub_405AC0來(lái)實(shí)現(xiàn)獲取磁盤(pán)信息的功能，通過(guò)sub_403300用來(lái)實(shí)現(xiàn)連接遠(yuǎn)程主機(jī)并發(fā)送信息的功能。

圖15：用于實(shí)現(xiàn)獲取磁盤(pán)信息并發(fā)送給遠(yuǎn)程主機(jī)的switch分支

sub_405AC0函數(shù)通過(guò)調(diào)用GetVolumeInformation獲取磁盤(pán)卷信息，同時(shí)通過(guò)SHGetFileInfo函數(shù)獲取文件系統(tǒng)對(duì)象的信息。

圖16：sub_405AC0函數(shù)用來(lái)獲得磁盤(pán)信息

sub_403300函數(shù)通過(guò)一系列套接字函數(shù)實(shí)現(xiàn)網(wǎng)絡(luò)通信，將竊取的信息發(fā)送給遠(yuǎn)程主機(jī)

圖17：sub_403300函數(shù)用來(lái)與遠(yuǎn)程主機(jī)通信

3.2.4 獲取桌面信息并發(fā)送給遠(yuǎn)端主機(jī)

sub_4075A0通過(guò)調(diào)用sub_40F780函數(shù)實(shí)現(xiàn)截屏功能，發(fā)送給遠(yuǎn)端主機(jī)的功能仍然是通過(guò)sub_403300函數(shù)實(shí)現(xiàn)的，與3.2.3中相同。

圖18：用于實(shí)現(xiàn)獲取桌面信息并發(fā)送給遠(yuǎn)端主機(jī)功能的switch分支

sub_40F780函數(shù)通過(guò)調(diào)用GetThreadDesktop得到桌面窗口所在線程，然后調(diào)用GetUserObjectInformation獲取特殊的窗口站和桌面對(duì)象信息。

圖19：sub_40F780函數(shù)實(shí)現(xiàn)獲取桌面信息的功能

3.2.5 竊取音頻設(shè)備信息并發(fā)送給遠(yuǎn)端主機(jī)

sub_407760函數(shù)通過(guò)sub_401760函數(shù)竊取音頻設(shè)備信息并通過(guò)sub_403300函數(shù)來(lái)實(shí)現(xiàn)連接遠(yuǎn)程主機(jī)并發(fā)送的功能，sub_403300在上面已經(jīng)提到了。

圖20：用于實(shí)現(xiàn)竊取音頻設(shè)備信息的switch分支

通過(guò)調(diào)用waveInGetNumDevs獲得就緒的波形聲音輸入設(shè)備的數(shù)量：

圖21：sub_401760函數(shù)獲得系統(tǒng)中波形聲音輸入設(shè)備的數(shù)量

3.2.6 擊鍵記錄器

sub_407920函數(shù)會(huì)調(diào)用sub_40A580函數(shù)實(shí)現(xiàn)擊鍵記錄功能，并且調(diào)用sub_403300函數(shù)向遠(yuǎn)程主機(jī)發(fā)送信息：

圖22：用于實(shí)現(xiàn)擊鍵記錄器的switch分支

sub_40A580函數(shù)調(diào)用GetKeyState, GetAsyncKeyState, GetKeyState三個(gè)函數(shù)實(shí)現(xiàn)擊鍵記錄的功能。

圖23：sub_40A580函數(shù)實(shí)現(xiàn)擊鍵記錄功能

3.2.7 關(guān)閉防火墻

sub_409320函數(shù)通過(guò)sub_409240函數(shù)實(shí)現(xiàn)關(guān)閉防火墻的操作：

圖24：用于實(shí)現(xiàn)關(guān)閉防火墻功能的switch分支

sub_409240函數(shù)構(gòu)造"cmd /c net stop sharedaccess"指令，實(shí)現(xiàn)關(guān)閉Internet連接共享和防火墻服務(wù)的功能：

圖25：sub_409240函數(shù)實(shí)現(xiàn)關(guān)閉防火墻的功能

3.2.8 刪除日志文件

惡意代碼通過(guò)sub_407F80函數(shù)實(shí)現(xiàn)刪除日志文件的功能：

圖26：用于實(shí)現(xiàn)刪除日志文件功能的switch分支

程序首先通過(guò)OpenEventLog函數(shù)打開(kāi)日志文件，如果成功打開(kāi)，就調(diào)用ClearEventLog函數(shù)清除日志文件中的內(nèi)容，最后通過(guò)CloseEventLog函數(shù)關(guān)閉日志文件。

圖27：sub_407F80函數(shù)實(shí)現(xiàn)刪除日志的功能

此樣本是一個(gè)簡(jiǎn)單的遠(yuǎn)控木馬，通過(guò)訪問(wèn)C2服務(wù)器獲取指令，然后根據(jù)Switch分支操作執(zhí)行諸如： 創(chuàng)建新用戶并添加到管理員組、 提升進(jìn)程權(quán)限、 竊取系統(tǒng)磁盤(pán)信息并發(fā)送給遠(yuǎn)程主機(jī)、 竊取桌面信息并發(fā)送給遠(yuǎn)程主機(jī)、 竊取音頻設(shè)備信息并發(fā)送給遠(yuǎn)程主機(jī)、 擊鍵記錄器、 關(guān)閉防火墻、 刪除日志文件等危險(xiǎn)的操作。程序本身還會(huì)有拷貝自身、延時(shí)執(zhí)行、查詢系統(tǒng)中是否安裝安全軟件的操作，并以此來(lái)確保自身的安全，同時(shí)還會(huì)通過(guò)修改注冊(cè)表實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)。

關(guān)于如何進(jìn)行Kris遠(yuǎn)控木馬的簡(jiǎn)單分析就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。

文章題目：如何進(jìn)行Kris遠(yuǎn)控木馬的簡(jiǎn)單分析
文章源于：http://aaarwkj.com/article12/jpopgc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供軟件開(kāi)發(fā)、品牌網(wǎng)站制作、服務(wù)器托管、網(wǎng)站營(yíng)銷、網(wǎng)站維護(hù)、云服務(wù)器

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)