您现在的位置是:首页 > 密码破解

NanSh0u进攻主题活动样本剖析

作者:果E安全网时间:2020-10-25 19:37:22分类:密码破解

简介文中关键从漏洞的视角对于样本CVE-2014-4113漏洞提权实际操作开展剖析。实际的剖析步骤以下:在开机启动以前运用Windbg专用工具载入全部电脑操作系统,为样本运作中后期内核调节做准备。随后让系统软件一切正常起动,并根据IDA载入运作样本。样本运

病毒代码.gif

文中关键从漏洞的视角对于样本CVE-2014-4113漏洞提权实际操作开展剖析。

QQ截图20190704165333.png

实际的剖析步骤以下:

图片0.png

在开机启动以前运用Windbg专用工具载入全部电脑操作系统,为样本运作中后期内核调节做准备。随后让系统软件一切正常起动,并根据IDA载入运作样本。

图片1.png

样本运作后,最先获取内核导出来函数PsLookupByProcessId的内存地址,PsLookupByProcessId是一个内核函数,它的功效是根据过程ID号获取该过程的EPROCESS构造,得到 了EPROCESS也就得到 了全部过程最重要的算法设计。

在后面的章节目录中我们可以见到shellcode应用PsLookupByProcessId函数来获取SYSTEM过程的EPROCESS构造,进而做到提权的目地。?

图片2.png

最先获取对外公布的函数ZwQuerySystemInfomation。

图片3.png获取ZwAllocateVirtualMemory运行内存函数详细地址,为后边提权实际操作分派tagWnd运行内存出示函数适用。

图片4.png图片5.png根据call函数获取当今软件环境的kernel的途径和名字, 并运用LoadLibrary函数载入内核库ntoskrnl.exe,取得成功载入内核库后获取到PsLookupByProcessId函数的内存地址。

图片6.png图片7.png

样本根据建立进程的方法,完成详细的CVE漏洞提权,进程截屏以下:

图片8.png

进到CVE漏洞提权进程后,最先建立一个Windows对话框。(CVE-2014-4113是一个内核漏洞,由于内核在解决对话框莱单信息时,应用了有误的窗口句柄,启用了固定不动内存地址的编码,进而导致了系统软件的漏洞)

图片9.png由于启用的是固定不动内存地址部位的编码,因此 大家必须在固定不动的内存地址部位分配内存页,在这个运行内存地区里提前准备tagWnd算法设计,并将shellcode载入到tagWnd算法设计中,复位tagWnd构造数据信息。

图片10.png图片11.png

建立二级莱单,设定对话框HOOK函数,便于对话框在接到信息的情况下能够实行pfnFilterProc更换默认设置的信息解决函数。

图片12.png图片13.png在HOOK回调函数函数中,变更该对话框的默认设置信息函数为dwNewLong。

图片14.png变更后的信息解决函数会消毁莱单,而且将信息解决函数返回值设定为-5(FFFFFFFB,这一数据是导致漏洞的关键缘故,后边能够见到)

图片15.png

启用TrackPopupMenu仿真模拟莱单恶性事件,开启系统软件漏洞。在运作TrackPopupMenu以前,大家必须在Windbg专用工具页面对于内核态函数win32k!xxxMNFindWindowFromPoint下中断点,win32k!xxxMNFindWindowFromPoint函数取得成功终断。?

图片16.png

根据下面的图能够见到全部的函数启用栈,从TrackPopupMenu函数进到内核,随后见到xxxMNFindWindowFromPoint的全部启用全过程。

图片17.pngWin32m!xxxMNFindWindowFromPoint函数实行结束,返回值为-5。

图片18.pngTrackPopupMenu造成的信息交到了对话框的默认设置信息函数,即回调函数函数dwNewLong。

图片19.png接下去编码回到到win32k!xxxHandleMenuMessages中,我们可以很清晰的见到,xxxMNFindWindowFromPoint的合理合法的返回值(tagWnd构造表针)为非0值,-1和-5。如今-5被当做了合理合法的tagWnd句柄,我们可以再次向下实行了。在Win32m!xxxSendMessageTimeout函数中,shellcode得到取得成功实行。

图片20.png

此样本shellcode关键用以提权,根据上原文中的PsLookupByProcessId运行内存函数获取SYSTEM过程的动态口令,并改动当今过程的动态口令,进而获取到SYSTEM管理权限。?

图片21.png

样本根据SYSTEM管理权限建立子过程,以SYSTEM的管理权限从C&C端免费下载挖币程序流程,在后台程序并开展挖币个人行为实际操作。

图片22.png

685f1cbd4af30a1d0c25f252d399a666 ?

c5c99988728c550282ae76270b649ea1 ?

70857e02d60c66e27a173f8f292774f1 ?

68862438fae4c937107999ff9d8ff709 ?

3ccb047b631ed6cab34ef11ccf43e47f ?

1f9007fbf6a37781f7880c10fc57a277 ?

5899fde33dc7cf35477b998c714454eb ?

1ad8d0594f9baffe332ccfefb25475df ?

1873944ee02b9e68af2d4997da5e5426 ?

e6b9054759e4d2d10fcf42d47d9e9221 ?

1770c9bf4a41c5115425d76df052b6a2 ?

2d740789efd7f16bff42651ae69b0893

876e504b8ddb231d8eeaefa2b9e38093 ?

e27490ae6debe3be25794b4dcbaa8e24 ?

1f0606c722693c9307ebf524c53f3375 ?

19594b72fc16539a5122217e6e3bb116 ?

6dd0276e1f66f672e8c426c53b3125a5 ?

82e55177fa37a34dca1375d542c06ac0 ?

7c4b1ebba507bc2d0085278d28a899b2 ?

c07c3a79f70bfd5474bab8a13acdb87e ?

8ca92722641c73758e5a762033e09b11 ?

9887d95973ac89c802571c2bbd347cbf ?

252d1721335108cdc643d36c40d4eaf6 ?

b9161d07b4954d071ae0f26c81e56807 ?

3425fc4d60a7401c934c73a12a30746b ?

93610bed2e15e2167a67c0e18fee7e08 ?

b79f7a7947cb7e9ea1f0d7648e765cee ?

df4bacb064a4668e444fd67585ea1d82?

lokiturtle.herominers.com

trtl.cnpool.cc

turtle.miner.rocks

trtl.pool.mine3gether.com

102.165.51.80

102.165.51.106?

111.67.206.87?

112.85.42.158

114.115.164.211?

119.131.209.186?

107.173.21.146?

107.173.21.239

1、不必随便开启异常文档,如电子邮箱、异常连接、异常文本文档这些。?

2、立即安裝漏洞补丁,应用最新版的手机软件。?

3、安裝电脑杀毒软件,立即升级病毒库。?

郑重声明:

果E安全网所有活动均为互联网所得,如有侵权请联系本站删除处理,转载请注明本站地址。

我来说两句