影子经纪人泄密材料分析之ModifyXXX_lp.dll

2023-11-01 12:59

本文主要是介绍影子经纪人泄密材料分析之ModifyXXX_lp.dll,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

该系列dll,从名称上看,分别用于修改审计信息、认证信息、组信息和权限信息:

每个DLL对外提供少量的导出函数,常见的导出函数原始名称分别为i_1()、i_2()、i_3()、i_4()以及一个入口函数DllEntryPoint(),如下:

逆向分析i_1()函数如下:

从我们的分析结果来看,i_1()函数主要作用是初始化,其目的是初始化后续由操作码0x10和0x11触发的系统调用。从这些dll函数的导入函数中,我们几乎没有看到太多关于上述修改系统信息的函数调用,那么这些恶意软件是如何达成目的的呢?相应的系统调用地址是通过i_1()参数传入并保存在全局变量中的。

i_1()还创建了一个用于互斥的信号量。

i_2()函数从指定的内存区域(Memory)中取出一系列的函数地址及函数参数,并逐个进行调用,随后释放i_1()函数中创建的信号量。如下:

但是我们没有分析出Memory被初始化为哪些函数序列了,初步的判断是这个函数为结束函数,释放执行过程中的创建的资源,并不涉及太多的功能操作。

i_3()是主要的功能函数,我们在后面进行分析,先来看i_4()。该函数也没有执行具体的功能,从结果上看,应该是取版本号之类的信息,并赋值给入参,从而传递给调用者:

从这个函数来看,泄漏的恶意软件版本信息应该是“2.0.2.131072”。

I_3()是主要的功能函数,该函数允许调用者传入两个操作码,分别是0x10和0x17,并执行不同的系统操作,从而修改审计、认证、权限和组等信息。这里恶意软件并没有直接调用Windows系统API,而是通过i_1()函数进行初始化,传入函数的地址后进行执行,从而躲避安全产品的检测。

大概的函数调用关系如下:

整个过程大概如下:

int (*func) (int a1, int a2, int a3, int a4);/* Initialize, system APIs are passed by parameters and stored in global variables */
i_1(void *buf, size_t bufsize);/* Get function address that to be executed. */
func = i_3(char a1);    //a1=0x10 or a1= 0x11/* Do malicious actions */
func(a1, a2, a3, a4);/* FINI */
i_2();

从单个小的组件来看,整个equation攻击平台的设计应该是比较先进的,体现出了良好的扩展性、兼容性和代码复用程度。

由于该DLL执行的功能函数均由调用者传入,因此程序的执行结果取决于攻击者传入的载荷,单独对该DLL的静态分析检测很难发现恶意行为,这也体现了equation攻击平台良好的反检测技巧。

转载于:https://www.cnblogs.com/gsharpsh00ter/p/6475167.html

这篇关于影子经纪人泄密材料分析之ModifyXXX_lp.dll的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/323152

相关文章

Spring事务中@Transactional注解不生效的原因分析与解决

《Spring事务中@Transactional注解不生效的原因分析与解决》在Spring框架中,@Transactional注解是管理数据库事务的核心方式,本文将深入分析事务自调用的底层原理,解释为... 目录1. 引言2. 事务自调用问题重现2.1 示例代码2.2 问题现象3. 为什么事务自调用会失效3

找不到Anaconda prompt终端的原因分析及解决方案

《找不到Anacondaprompt终端的原因分析及解决方案》因为anaconda还没有初始化,在安装anaconda的过程中,有一行是否要添加anaconda到菜单目录中,由于没有勾选,导致没有菜... 目录问题原因问http://www.chinasem.cn题解决安装了 Anaconda 却找不到 An

Spring定时任务只执行一次的原因分析与解决方案

《Spring定时任务只执行一次的原因分析与解决方案》在使用Spring的@Scheduled定时任务时,你是否遇到过任务只执行一次,后续不再触发的情况?这种情况可能由多种原因导致,如未启用调度、线程... 目录1. 问题背景2. Spring定时任务的基本用法3. 为什么定时任务只执行一次?3.1 未启用

mss32.dll文件丢失怎么办? 电脑提示mss32.dll丢失的多种修复方法

《mss32.dll文件丢失怎么办?电脑提示mss32.dll丢失的多种修复方法》最近,很多电脑用户可能遇到了mss32.dll文件丢失的问题,导致一些应用程序无法正常启动,那么,如何修复这个问题呢... 在电脑常年累月的使用过程中,偶尔会遇到一些问题令人头疼。像是某个程序尝试运行时,系统突然弹出一个错误提

电脑提示找不到openal32.dll文件怎么办? openal32.dll丢失完美修复方法

《电脑提示找不到openal32.dll文件怎么办?openal32.dll丢失完美修复方法》openal32.dll是一种重要的系统文件,当它丢失时,会给我们的电脑带来很大的困扰,很多人都曾经遇到... 在使用电脑过程中,我们常常会遇到一些.dll文件丢失的问题,而openal32.dll的丢失是其中比较

电脑win32spl.dll文件丢失咋办? win32spl.dll丢失无法连接打印机修复技巧

《电脑win32spl.dll文件丢失咋办?win32spl.dll丢失无法连接打印机修复技巧》电脑突然提示win32spl.dll文件丢失,打印机死活连不上,今天就来给大家详细讲解一下这个问题的解... 不知道大家在使用电脑的时候是否遇到过关于win32spl.dll文件丢失的问题,win32spl.dl

C++ 各种map特点对比分析

《C++各种map特点对比分析》文章比较了C++中不同类型的map(如std::map,std::unordered_map,std::multimap,std::unordered_multima... 目录特点比较C++ 示例代码 ​​​​​​代码解释特点比较1. std::map底层实现:基于红黑

Spring、Spring Boot、Spring Cloud 的区别与联系分析

《Spring、SpringBoot、SpringCloud的区别与联系分析》Spring、SpringBoot和SpringCloud是Java开发中常用的框架,分别针对企业级应用开发、快速开... 目录1. Spring 框架2. Spring Boot3. Spring Cloud总结1. Sprin

Spring 中 BeanFactoryPostProcessor 的作用和示例源码分析

《Spring中BeanFactoryPostProcessor的作用和示例源码分析》Spring的BeanFactoryPostProcessor是容器初始化的扩展接口,允许在Bean实例化前... 目录一、概览1. 核心定位2. 核心功能详解3. 关键特性二、Spring 内置的 BeanFactory

电脑提示msvcp90.dll缺少怎么办? MSVCP90.dll文件丢失的修复方法

《电脑提示msvcp90.dll缺少怎么办?MSVCP90.dll文件丢失的修复方法》今天我想和大家分享的主题是关于在使用软件时遇到的一个问题——msvcp90.dll丢失,相信很多老师在使用电脑时... 在计算机使用过程中,可能会遇到 MSVCP90.dll 丢失的问题。MSVCP90.dll 是 Mic