吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5876|回复: 7
收起左侧

[PC样本分析] Cobalt Strike生成简单木马样本病毒分析

[复制链接]
ADD1ADD2 发表于 2022-5-23 15:24
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 ADD1ADD2 于 2022-5-23 15:29 编辑

Cobalt Strike生成木马样本病毒分析报告




2022年05月05日

目录
病毒信息1
病毒概况1
病毒危害1
手工清除方法1
漏洞补丁信息2
应对措施及建议2
文件行为2
进程行为2
注册表行为2
网络行为3
详细分析报告4
样本溯源分析12


病毒信息
病毒名称:beaconHTTp.exe。
病毒家族:
病毒类型:。
MD5:                EF9FB3490F6ECB21734E4B4FCA1037F0。
SHA1:        519A6AF6790BEE372DC6CC6CF33772F107C69F0F。
文件大小:PE EXE。
文件类型:284,672 bytes。
传播途径:。
专杀信息:暂无
影响系统:。
样本来源:。
发现时间:。
入库时间:。
C2服务器:。
病毒概况
该样本是使用Cobalt Strike生成,Cobalt Strike是使用java编写,C/S 架构的商业渗透软件,适合多人进行团队协作,可以模拟对抗,进行内网渗透。该病毒payload类型是HTTP。
病毒危害:
        恶意木马后门,被远程控制。
手工清除方法
1).首先结束进程,找到病毒地址,将其删除。
漏洞补丁信息
暂无
应对措施及建议
1).建议用户保持良好的上网习惯,不要随意打开来路不明的邮件及文档。
2).及时更新系统及软件,保持系统和软件保持最新版本。
3).不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
4).安装专业的防毒软件升级到最新版本,并开启实时监控功能。
5).不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
6).保持防火墙的开启。


文件行为
1).打开C:\Windows\System32\sechost.dll。
2).打开C:\Windows\System32\imm32.dll。
3).打开C:\Windows\System32\cryptsp.dll。
4).打开C:\Windows\System32\rsaenh.dll。
5).打开设备\Device\Afd。
......
进程行为
1).启动自身。
注册表行为
1) .修改注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\beaconHTTp_RASAPI32\EnableFileTracing,        type:0x00000004 datalen:4 data:'00 00 00 00 ' ,        0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\beaconHTTp_RASAPI32\EnableConsoleTracing,        type:0x00000004 datalen:4 data:'00 00 00 00 ' ,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\beaconHTTp_RASAPI32\FileTracingMask,        type:0x00000004 datalen:4 data:'00 00 FF FF ' ,        0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\beaconHTTp_RASAPI32\ConsoleTracingMask,        type:0x00000004 datalen:4 data:'00 00 FF FF ' ,        0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\beaconHTTp_RASAPI32\MaxFileSize,        type:0x00000004 datalen:4 data:'00 00 10 00 ' ,        0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\beaconHTTp_RASAPI32\FileDirectory,        type:0x00000002 datalen
......
网络行为
1).连接指定的IP网络:192.168.159.128:80端口。
2).向192.168.159.128发送数据包。
3).HTTP请求。



详细分析报告
1).首先生成木马病毒样本,使用kali虚拟机在root模式下在文件夹打开终端,输入 ./teamserver IP(kali) password,启动团队服务器模式,会进入等待:
图片1.png
2)再次在文件夹下打开终端,输入./start.sh,启动CobaltStrike程序:
图片2.png
3)选择要创建的 payload类型我这里选择的是HTTP,端口50050:
图片3.png

4).选择要监听的,选择要输出的格式,exe/dll等等,我这里生成的是exe文件,
5).目标主机也要与控制终端互ping:

图片4.png
图片5.png
6). 使用Wireshare网络分析器抓取网络信息,启动beaconDNS.exe:
图片6.png
7).服务端输入命令net user:
图片7.png
8).接下来就对样本进行分析,这是一个GCC生成的文件:
图片8.png
9).利用IDA打开只是两个函数:
图片9.png
10).主要是下面的函数创建线程,管道,写入文件,读取文件:
图片10.png
图片11.png
11).sub_4017E2对shellcode进行解密操作,执行payload:
图片12.png
图片13.png
12).对照OD解密函数进行动态分析:
图片14.png
图片15.png

13).找到位置利用插件将内存dump导出来,进行分析:
图片16.png
14). 查看导出表发现这是一种反射式注入dll方式,防止文件“落地”被反病毒软件检测到,来达到执行恶意代码的方式:
图片17.png
15).payload会执行ReflectiveLoader(x) 函数,这个函数最终会调用DLLMain执行恶意代码:
图片18.png
图片19.png
16).DllMain入口函数:
图片20.png
17).获取加密方式,获取密钥,进行解密:
图片21.png
图片22.png

18).提升到管理员权限,与客户端进行通信,根据通信的指令进行操作:
图片23.png
图片24.png
图片25.png
...


样本溯源分析:
由本人生成。

结论:该木马病毒,可被其他终端远程获取本机信息、以及被远程控制,但是它隐蔽性一般,加密强度不高,可被分析程度较高。还有其他没有分析的位置。
密码:52pojie

beaconHTTp.rar

133.86 KB, 下载次数: 41, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 6威望 +1 吾爱币 +25 热心值 +5 收起 理由
Ginobili + 1 + 1 热心回复!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
xiaohanjss + 1 + 1 谢谢@Thanks!
zhyerh + 1 + 1 谢谢@Thanks!
wyjl + 1 我很赞同!
加嘞个油 + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

xiaohanjss 发表于 2022-5-24 20:45
学习力,还是得多看大佬们的分析鸭,自己没思路
z5530012 发表于 2022-5-26 08:55
Rerizon 发表于 2022-6-26 14:04
Alan66 发表于 2022-7-2 15:16
感谢解惑
jsncy 发表于 2022-7-5 14:24
谢谢分享
6o6 发表于 2022-7-22 14:58
学到了学到了
jsncy 发表于 2022-8-3 08:59
谢谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 18:37

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表