從網(wǎng)上下載的安全研究工具，別亂點(diǎn)

前言

前天筆者微信群里有個(gè)朋友發(fā)了一段聊天記錄，說是有一個(gè)ShellCodeLoader工具好像是CS木馬，如下：

筆者本來想從GitHub下載樣本研究一下，發(fā)現(xiàn)鏈接已經(jīng)失效了，于是找群里的朋友要了樣本，就給大家簡(jiǎn)單分析一下，對(duì)一些好玩的樣本，筆者一直本著“不放過”的研究態(tài)度，就當(dāng)好玩吧，其實(shí)做安全也就是好玩。

分析

拿到樣本之后，發(fā)現(xiàn)包含兩個(gè)程序：LoaderMaker.exe和ShellcodeLoader.exe，如下所示：

樣本的編譯時(shí)間為2022年10月8日，如下所示：

運(yùn)行LoaderMaker.exe之后，提示輸入相關(guān)的參數(shù)，生成ShellCodeLoader程序，如下所示：

筆者使用msfvenom工具生成一個(gè)彈計(jì)算機(jī)的shellcode.bin文件，然后通過參數(shù)，再次執(zhí)行LoaderMaker.exe程序，如下所示：

這個(gè)工具給筆者生成了一個(gè)Loader.exe的加載程序，運(yùn)行生成的Loader.exe程序，看看會(huì)不會(huì)彈計(jì)算機(jī)，果然彈出了計(jì)算機(jī)，如下所示：

我們先來看看這個(gè)工具是如何幫助筆者生成這個(gè)Loader.exe程序的吧。

1.打印命令行提示符，進(jìn)程提權(quán)操作，如下所示：

2.讀取shellcode.bin的數(shù)據(jù)到內(nèi)存中，如下所示：

3.對(duì)shellcode.bin的數(shù)據(jù)進(jìn)行加密處理，如下所示：

4.讀取同目錄下的ShellcodeLoader.exe的數(shù)據(jù)到內(nèi)存中，如下所示：

5.在內(nèi)存中拼接數(shù)據(jù)，然后生成Loader.exe程序，如下所示：

6.將此前拼接的內(nèi)存數(shù)據(jù)，寫入到生成的Loader.exe程序，如下所示：

到此Loader.exe程序就生成完成了，好像看起來感覺沒啥問題呀，但是仔細(xì)分析就會(huì)發(fā)現(xiàn)問題，它的打印函數(shù)功能好像不簡(jiǎn)單哦？我們來看它里面深藏的一段代碼邏輯，如下所示：

一個(gè)全局變量，判斷它是不是等于6，如果等于6就會(huì)執(zhí)行下面的惡意函數(shù)，如果不等于6，就執(zhí)行加1的功能，其實(shí)就是在打印出6個(gè)字符串之后，就會(huì)執(zhí)行隱藏的惡意函數(shù)操作，也就是聊天記錄中說的“只要一生成，就會(huì)注入進(jìn)程”，原來如此，正好程序在生成之前會(huì)執(zhí)行六次打印操作，這操作有點(diǎn)“意思”！下面我們來重點(diǎn)看看這個(gè)惡意函數(shù)的功能吧。

1.最后一次打印操作之后，全局變量等于6，不會(huì)執(zhí)行跳轉(zhuǎn)操作，進(jìn)入惡意函數(shù)，如下所示：

2.進(jìn)入之后，如下所示：

3.遍歷進(jìn)程，查找explorer.exe進(jìn)程，如下所示：

4.通過GetNativeSystemInfo或GetSystemInfo獲取操作系統(tǒng)版本，判斷是否為64位的操作系統(tǒng)，如果不是64位操作系統(tǒng)，則退出，如下所示：

退出函數(shù)的代碼，如下所示：

5.讀取程序中的數(shù)據(jù)，進(jìn)行解密，如下所示：

6.解密之后的數(shù)據(jù)就是一段惡意ShellCode代碼，如下所示：

7.將上面生成的ShellCode惡意代碼注入到explorer.exe進(jìn)程中，如下所示：

8.注入之后explorer.exe進(jìn)程

ShellCode代碼執(zhí)行之后，會(huì)連接遠(yuǎn)程服務(wù)器進(jìn)行后面的操作，遠(yuǎn)程服務(wù)器域名為：www2.jquery.ink，到此該樣本就分析完了，筆者只是好奇分析了這個(gè)樣本，至于其他相關(guān)威脅情報(bào)信息讀者自行參考研究吧，不作過多分析。

總結(jié)

給大家簡(jiǎn)單分析了一下，筆者再次提醒大家不管是從GitHub等開源網(wǎng)站，還是其他一些非官方下載網(wǎng)站、論壇下載的各種黑客類工具、破解軟件等，一定要提醒自己，多想想，這些工具會(huì)不會(huì)有啥后門之類？

筆者每天的工作都在與各種各樣的惡意軟件家族打交道，基本上除了吃飯、睡覺、與家人娛樂休閑的時(shí)間之外，其它時(shí)間都在不停地分析和研究各種各樣的惡意軟件家族最新樣本和新型的家族等，其實(shí)大多數(shù)情況下筆者研究惡意軟件完全就是興趣與愛好，一定要搞清楚這些惡意軟件家族的攻擊手法、攻擊技巧以及免殺和逃逸技術(shù)等，所以筆者一直說興趣和愛好是做好安全的首要條件，如果不是真的喜歡做安全，也很難做好安全，更不會(huì)全身心的投入到安全當(dāng)中，要把安全當(dāng)成自己的事業(yè)，全力投入到自己熱愛的事業(yè)當(dāng)中。

國(guó)內(nèi)的網(wǎng)絡(luò)安全企業(yè)要走的路還很長(zhǎng)，只要持續(xù)走下去，堅(jiān)定信念，堅(jiān)定不移，就一定可以能做大做強(qiáng)，一起為祖國(guó)的網(wǎng)絡(luò)安全事業(yè)貢獻(xiàn)自己的一份力量。

筆者一直從事與惡意軟件威脅情報(bào)等相關(guān)安全分析與研究工作，包含挖礦、勒索、遠(yuǎn)控后門、僵尸網(wǎng)絡(luò)、加載器、APT攻擊樣本、CS木馬、Rootkit后門木馬等，涉及到多種不同的平臺(tái)(Windows/Linux/Mac/Android/iOS)，筆者做安全研究的興趣就是喜歡研究一些最新的惡意軟件家族樣本，跟蹤國(guó)內(nèi)外報(bào)道的各種安全事件中涉及到的攻擊樣本等，通過詳細(xì)分析各種安全攻擊事件中涉及的樣本、漏洞和攻擊技巧等，可以了解全球黑客組織最新的攻擊技術(shù)以及攻擊活動(dòng)趨勢(shì)等，同時(shí)還可以推判出他們大概準(zhǔn)備做什么，發(fā)起哪些攻擊活動(dòng)，以及客戶可能會(huì)受到什么危害等，通過研究全球的黑客組織以及攻擊活動(dòng)，做到知已知彼，各位讀者朋友如果有遇到什么新的惡意軟件家族樣本或最新的家族變種都可以私信發(fā)給筆者，感謝給筆者提供樣本的朋友們！