吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8531|回复: 35
上一主题 下一主题
收起左侧

[PC样本分析] 收服护网病毒

  [复制链接]
跳转到指定楼层
楼主
wumingpeng 发表于 2021-5-15 09:52 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 wumingpeng 于 2021-5-15 10:21 编辑

古有如来佛祖降伏齐天大圣,今有我来收服护网病毒。前段时间,2021年国家的护网行动刚刚结束,这期间抓获了不少攻击队用来渗透的病毒木马,最近刚好有时间,分析了其中一个木马。
一、作恶多端被擒获
该木马是一个linux木马,其主要功能如下:
1、执行Shell命令

图1 接受shell命令


图2 执行shell命令
2、把宿主当作肉鸡,去执行DDOS攻击

图3 接受DDOS攻击命令

图4 执行DDOS攻击

3、    连接服务端该木马有两种连接服务端的方式,一种是直接连接服务端的IP地址,一种是通过域名解析动态获取服务端IP地址。

图5 直接连接IP


6 动态解析域名连接IP

分析到这里,这个木马的行为和功能,已经了解的一清二楚了。这时候,我有了一个想法,想要收服这个木马,引导它弃暗投明变成自己的小弟,那应该怎么做呢!!!
二、 当头棒喝终悔悟
有两个方法可以实现。第一,通过文件编辑,把木马服务端的IP改成我的IP。第二,,把木马动态解析的域名改成我的域名。
1、这里我选择第一种方法,来收服这个木马小弟

图7 修改IP



图8 修改IP
2、写代码,创建一个服务端等待木马连接

图9 服务端代码

由于该木马连接服务端成功会向服务端发送宿主机的一些信息,所有启动我的服务端,运行一下木马,看看经过我一番苦心劝告的木马是否已经回头是岸,投向我的服务端。
图10 向服务端发送宿主机信息


图11 连上我的服务端

如上图所示,木马已经成功连上我的服务端,并发送宿主机的版本信息,看来经过我的一番苦口婆心的劝说,这个木马已经幡然悔悟并投向了我的怀抱,并等待着我的下一步指引。
尝试给木马发送一条查看当前目录的指令,看看这个木马是否会执行我们的指令。

图12 发送指令
通过IDA调试,确定木马已经收到了服务端发送的指令。

图13 收到的指令

并且在虚拟机中已经成功执行了我们发送的指令。

图14 执行指令

到此,可以肯定,这个木马经过我的谆谆教诲,真的已经弃暗投明,痛改前非了。就让它跟着我迎接下一次的护网行动,救赎它以前犯下的过错。另外,它前主人的服务器开了3389,是否还有后续故事,敬请期待。

图15 木马服务端开启了3389


免费评分

参与人数 6吾爱币 +11 热心值 +4 收起 理由
blindcat + 1 + 1 鼓励转贴优秀软件安全工具和文档!
梦入神机 + 3 + 1 用心讨论,共获提升!
nlq5670 + 1 + 1 我很赞同!
zjls9933 + 3 + 1 用心讨论,共获提升!
小朋友呢 + 2 热心回复!
wwww7788549 + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
xiaoxongl 发表于 2021-5-15 16:03
3389大概是跳板
3#
涟浪漪汕 发表于 2021-5-15 20:38
4#
zjls9933 发表于 2021-5-15 21:23
感觉可以通过3389端口进去看看对方作者啥子情况...
5#
雨落惊鸿, 发表于 2021-5-15 23:35
感谢分享
头像被屏蔽
6#
First丶云心 发表于 2021-5-16 09:22
提示: 作者被禁止或删除 内容自动屏蔽
7#
菜鸟新手2333 发表于 2021-5-16 10:37
感谢分享
8#
_Oliverluo 发表于 2021-5-16 10:42
感谢分享!!!
9#
钢铁侠_123 发表于 2021-5-16 12:15
开了3389也很不好整,字典破,成功概率堪忧
10#
heikis 发表于 2021-5-17 00:32
hhh,这个收复用的好
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 13:01

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表