通过“热补丁”执行恶意代码实例分析 – 作者:DD黃藥師BB

序言

前两天在“蜂鸟”图标的社交网站看到一个高危样本,便下载审查一番。文件是一个压缩包,压缩包中有两个普通图片、一个EXE和一个DLL文件(wwlib.dll)。

通过使用VirusTotal查询MD5后发现只有wwlib.dll被杀毒引擎检出为恶意文件,于是笔者不老道的经验判断这是一个普通的DLL劫持操作。在一番动态运行后发现确实如此,然后就按照DLL劫持的分析思路进行分析,结果并没有找到具体得恶意代码执行处。之后经过多个小时的奋斗,终于发现wwlib.dll使用类似“热补丁”技术修改了系统ntdll.LdrLoadDLL函数的返回地址使其跳转到wwlib.dll的恶意函数进而执行多层shellcode。

热补丁:又称为patch,指能够修复软件漏洞的一些代码,是一种快速、低成本修复产品软件版本缺陷的方式,可以运行状态下对程序进行修复。

“热补丁”位置

压缩包中的exe文件作用只是用来加载wwlib.dll,所以我们只对wwlib.dll进行详细分析。

文件名:wwlib.dll

MD5:6875f307d95790ca25c1da542ea736a8

wwlib.dll被加载后首先执行sub_1000101A函数,获取ntdll.LdrLoadDll的函数地址并将其返回地址进行修改。

ntdll.LdrLoadDll的返回地址被修改为跳转到wwlib.dll的sub_1000168E函数。

修改前:

修改后:

除了以上修改外作者还开辟了新的内存空间并写入跳转到ntdll.LdrLoadDll返回地址7c9364ee的代码。但是在调试时并未发现有执行改代码的操作,怀疑是作者的测试代码。

修改了以上代码就能确保恶意代码被顺利执行。

如何触发执行恶意代码?

以下结果是使用32位的win XP调试而得。当加载DLL文件时调用Kernel32.LoadLibraryA函数,经过下图中的层层调用最终执行ntdll.LdrLoadDll函数。

由于ntdll.LdrLoadDll函数的返回地址“7c9364ee”被修改为跳转到wwlib.1000168E地址。“热补丁”设置成功后只要进行加载DLL动作即可触发恶意代码,下面是对恶意代码下断点分析的内容。

解密执行shellcode

恶意代码首先将修改过的ntdll函数返回地址恢复,对比上一节的图片可知将“E9 9B B1 6C 93”恢复为“C2 10 00 90 90”。

将解密后的shellcode拷贝到新开辟的内存空间并执行。

启动线程进行连接C2操作。

获取网卡信息。

线程解密C2地址后启动新的线程进行网络操作。

请求地址https:// cloud.doomdns.org/hk12获取下一阶段shellcode代码。

执行下载的shellcode代码。

总结

详细分析后发现这并不是一个简单的DLL劫持操作,而是通过精心构造的跳转执行恶意代码。shellcode代码虽然有很多层,但是执行逻辑与代码风格基本相同。只要耐下心来,一层一层跟下去就能找到恶意代码的执行逻辑。

想到很多朋友不能在VirusTotal直接下载样本,笔者将本文的样本放置在github上供大家学习研究。本文种若有遗漏错误之处,欢迎大家批评指正、留言交流。

样本地址:

https://github.com/ShareSample/Hot-Patch-Sample

IOC

3061f320d47a6c985bd219f5ac14ff8a

cloud.doomdns.org

https:// cloud.doomdns.org/hk12

*本文原创作者:DD黃藥師BB,本文属于FreeBuf原创奖励计划,未经许可禁止转载

来源:freebuf.com 2019-09-17 09:00:55 by: DD黃藥師BB

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论