【软件逆向-记Github上下载到的WinExplorer夹带私货】此文章归类为:软件逆向。
前言
起因是玩瓦罗兰特想搞4:3分辨率拉伸,搜B站教学让下载一个WinExplorer。于是我直接Google搜了一下发现这货排名还挺靠前,没多想直接下载。
笔者发现Github上没有给出源码,只有Release和Readme,没多想直接下载运行。一天后笔者发现任务管理器多了个Network5540.exe,我没多想以为是雷神加速器的辅助工具。手动提交到Windows Defender样本也一时半会儿扫不出来,但是感觉越来越不对劲。
冒牌winexp分析
文件名:winexp.exe
MD5:0843ed1a1b1b20c51e506ea1667e797c
SHA256:28ad48ce374b52c10d15cd06a5b4d5b97ed9c2710996fefac758b0a155e45d47
行为:运行后它将利用powershell运行指令添加到Windows Defender的排除项:
1
|
Add
-
MpPreference
-
ExclusionPath
'C:\\'
|
随后将./data/dotnet.dll复制为dotnet.bat并运行,启动真正的winexp.exe。
文件名:dotnet.dll
MD5:1db5fbd9dde9fd2ad90697c55b0f9012
SHA256:e304aa05f981d67335436b8e6fa070e14c1ccce7e88c523d7236414a51509c2c
行为:这个假DLL其实是个bat,打开看了一眼是一坨,里面应该藏了二进制程序在里面。运行后它会将自己复制为%APPDATA%/Network5540.cmd,释放一个powershell.exe并通过-c
参数解密并加载运行Network5540.cmd中的二进制程序。
笔者修改cmd得到执行Powershell的指令,经过反混淆和整理后得到如下代码:
把这俩程序读出来保存一下,直接脱壳+IL2Spy。经过分析,这两个程序一个是用来绕过Windows Defender,另外一个是后门exe。感觉就是Hook了俩函数(AmsiScanBuffer
和EtwEventWrite
)就把Windows Defender放倒了...
后门exe行为
剪切板回调
按键监控
安装键盘钩子,记录窗口程序标题记录到%Temp%/Log.tmp文件中,笔者打开吓了一跳。
添加自启动
远程控制
总结
笔者并不是安全行业人员,水平很菜,写得有点啰嗦请见谅,感觉拆解别人的程序真好玩。
那个WinExp的Github页面搞得有模有样,笔者吃过的亏太少,给我的教训是不要觉得Github上都是正常开发人员,坏比无处不在。直到今天,Windows Defender提交的样本依旧是Pending状态,我还是下个火绒吧。
更多【软件逆向-记Github上下载到的WinExplorer夹带私货】相关视频教程:www.yxfzedu.com