后门远控及样本分析

13 articles

Conficker.B蠕虫分析

天融信阿尔法实验室 CFF

0×00 概述

Conficker蠕虫从08年爆发,后续衍生了ABCD等多个变种;本以为早已经灭绝的东西,竟然在朋友的重要服务器中被发现,果真是百足之虫死而不僵,继续拿来练练手。

服务器上感染的是Conficker.B变种,其利用MS08-067漏洞进行传播,同时通过移动驱动器和网络共享进行传播。蠕虫使安全服务失效,阻止访问与安全相关的网站。病毒利用访问控制列表锁住被感染机器上的病毒文件,防止病毒文件被删除。并且在特定时间之后会访问随机生成的网址,由于域名生成是精心构造的伪随机算法,可以部署相应的域名,来达到下载并执行程序。

0×01 运行流程[......]

Read more

Eraseme后门分析

天融信阿尔法实验室 陈峰峰

0×00 概述

这是@neteagle捕获的一个样本,好奇索要过来看看,简单分析了一下;这是一个带感染功能的后门程序。由于其传播名称eraseme_%d%d%d%d%d.exe,所以我们称之为Eraseme后门。这是我第一份分析报告,感谢hj大侠和段哥的指导。分析中如有不对的地方也望各位指出。

样本主要包含三个程序:

PE程序(PE0):外壳程序,主要负责释放PE1

PE程序(PE1):核心程序,负责感染、控制,使用UPX减小体积,释放SYS1

驱动程序(SYS1):修改系统TCPIP并发最大连接数

 

0×01 程序运[......]

Read more

windows平台下高级shellcode编程技术

                                                                                                                                            

                                                                                          文/图 天融信阿尔法实验室    李明政

一  前言

二  功能性shellcode的概念

三  高级语言的选择

四[......]

Read more