通过“热补丁”执行恶意代码实例分析

体育新闻 2019-12-04171未知admin

  前两天在“蜂鸟”图标的社交网站看到一个高危样本,便下载审查一番。文件是一个压缩包,压缩包中有两个普通图片、一个EXE和一个DLL文件(wwlib.dll)。

  通过使用VirusTotal查询MD5后发现只有wwlib.dll被杀毒引擎检出为恶意文件,于是笔者不老道的经验判断这是一个普通的DLL劫持操作。在一番动态运行后发现确实如此,然后就按照DLL劫持的分析思路进行分析,结果并没有找到具体得恶意代码执行处。之后经过多个小时的奋斗,终于发现wwlib.dll使用类似“热补丁”技术修改了系统ntdll.LdrLoadDLL函数的返回地址使其跳转到wwlib.dll的恶意函数进而执行多层shellcode。

  热补丁:又称为patch,指能够修复的一些,是一种快速、低成本修复产品软件版本缺陷的方式,可以运行状态下对程序进行修复。

  压缩包中的exe文件作用只是用来加载wwlib.dll,所以我们只对wwlib.dll进行详细分析。

  除了以上修改外作者还开辟了新的内存空间并写入跳转到ntdll.LdrLoadDll返回地址7c9364ee的代码。但是在调试时并未发现有执行改代码的操作,怀疑是作者的测试代码。

  由于ntdll.LdrLoadDll函数的返回地址“7c9364ee”被修改为跳转到wwlib.1000168E地址。“热补丁”设置成功后只要进行加载DLL动作即可触发恶意代码,下面是对恶意代码下断点分析的内容。

  恶意代码首先将修改过的ntdll函数返回地址恢复,对比上一节的图片可知将“E9 9B B1 6C 93”恢复为“C2 10 00 90 90”。

  详细分析后发现这并不是一个简单的DLL劫持操作,而是通过精心构造的跳转执行恶意代码。shellcode代码虽然有很多层,但是执行逻辑与代码风格基本相同。只要耐下心来,一层一层跟下去就能找到恶意代码的执行逻辑。

  想到很多朋友不能在VirusTotal直接下载样本,笔者将本文的样本放置在github上供大家学习研究。本文种若有遗漏错误之处,欢迎大家批评指正、留言交流。

莺歌燕舞新闻网 版权所有 Power by DedeCms 

联系QQ