影子经纪人泄密材料分析之ModifyXXX_lp.dll

2023-11-01 12:59

本文主要是介绍影子经纪人泄密材料分析之ModifyXXX_lp.dll,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

该系列dll,从名称上看,分别用于修改审计信息、认证信息、组信息和权限信息:

每个DLL对外提供少量的导出函数,常见的导出函数原始名称分别为i_1()、i_2()、i_3()、i_4()以及一个入口函数DllEntryPoint(),如下:

逆向分析i_1()函数如下:

从我们的分析结果来看,i_1()函数主要作用是初始化,其目的是初始化后续由操作码0x10和0x11触发的系统调用。从这些dll函数的导入函数中,我们几乎没有看到太多关于上述修改系统信息的函数调用,那么这些恶意软件是如何达成目的的呢?相应的系统调用地址是通过i_1()参数传入并保存在全局变量中的。

i_1()还创建了一个用于互斥的信号量。

i_2()函数从指定的内存区域(Memory)中取出一系列的函数地址及函数参数,并逐个进行调用,随后释放i_1()函数中创建的信号量。如下:

但是我们没有分析出Memory被初始化为哪些函数序列了,初步的判断是这个函数为结束函数,释放执行过程中的创建的资源,并不涉及太多的功能操作。

i_3()是主要的功能函数,我们在后面进行分析,先来看i_4()。该函数也没有执行具体的功能,从结果上看,应该是取版本号之类的信息,并赋值给入参,从而传递给调用者:

从这个函数来看,泄漏的恶意软件版本信息应该是“2.0.2.131072”。

I_3()是主要的功能函数,该函数允许调用者传入两个操作码,分别是0x10和0x17,并执行不同的系统操作,从而修改审计、认证、权限和组等信息。这里恶意软件并没有直接调用Windows系统API,而是通过i_1()函数进行初始化,传入函数的地址后进行执行,从而躲避安全产品的检测。

大概的函数调用关系如下:

整个过程大概如下:

int (*func) (int a1, int a2, int a3, int a4);/* Initialize, system APIs are passed by parameters and stored in global variables */
i_1(void *buf, size_t bufsize);/* Get function address that to be executed. */
func = i_3(char a1);    //a1=0x10 or a1= 0x11/* Do malicious actions */
func(a1, a2, a3, a4);/* FINI */
i_2();

从单个小的组件来看,整个equation攻击平台的设计应该是比较先进的,体现出了良好的扩展性、兼容性和代码复用程度。

由于该DLL执行的功能函数均由调用者传入,因此程序的执行结果取决于攻击者传入的载荷,单独对该DLL的静态分析检测很难发现恶意行为,这也体现了equation攻击平台良好的反检测技巧。

转载于:https://www.cnblogs.com/gsharpsh00ter/p/6475167.html

这篇关于影子经纪人泄密材料分析之ModifyXXX_lp.dll的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/323152

相关文章

Java程序进程起来了但是不打印日志的原因分析

《Java程序进程起来了但是不打印日志的原因分析》:本文主要介绍Java程序进程起来了但是不打印日志的原因分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Java程序进程起来了但是不打印日志的原因1、日志配置问题2、日志文件权限问题3、日志文件路径问题4、程序

Java字符串操作技巧之语法、示例与应用场景分析

《Java字符串操作技巧之语法、示例与应用场景分析》在Java算法题和日常开发中,字符串处理是必备的核心技能,本文全面梳理Java中字符串的常用操作语法,结合代码示例、应用场景和避坑指南,可快速掌握字... 目录引言1. 基础操作1.1 创建字符串1.2 获取长度1.3 访问字符2. 字符串处理2.1 子字

Python 迭代器和生成器概念及场景分析

《Python迭代器和生成器概念及场景分析》yield是Python中实现惰性计算和协程的核心工具,结合send()、throw()、close()等方法,能够构建高效、灵活的数据流和控制流模型,这... 目录迭代器的介绍自定义迭代器省略的迭代器生产器的介绍yield的普通用法yield的高级用法yidle

C++ Sort函数使用场景分析

《C++Sort函数使用场景分析》sort函数是algorithm库下的一个函数,sort函数是不稳定的,即大小相同的元素在排序后相对顺序可能发生改变,如果某些场景需要保持相同元素间的相对顺序,可使... 目录C++ Sort函数详解一、sort函数调用的两种方式二、sort函数使用场景三、sort函数排序

kotlin中const 和val的区别及使用场景分析

《kotlin中const和val的区别及使用场景分析》在Kotlin中,const和val都是用来声明常量的,但它们的使用场景和功能有所不同,下面给大家介绍kotlin中const和val的区别,... 目录kotlin中const 和val的区别1. val:2. const:二 代码示例1 Java

Go标准库常见错误分析和解决办法

《Go标准库常见错误分析和解决办法》Go语言的标准库为开发者提供了丰富且高效的工具,涵盖了从网络编程到文件操作等各个方面,然而,标准库虽好,使用不当却可能适得其反,正所谓工欲善其事,必先利其器,本文将... 目录1. 使用了错误的time.Duration2. time.After导致的内存泄漏3. jsO

Spring事务中@Transactional注解不生效的原因分析与解决

《Spring事务中@Transactional注解不生效的原因分析与解决》在Spring框架中,@Transactional注解是管理数据库事务的核心方式,本文将深入分析事务自调用的底层原理,解释为... 目录1. 引言2. 事务自调用问题重现2.1 示例代码2.2 问题现象3. 为什么事务自调用会失效3

找不到Anaconda prompt终端的原因分析及解决方案

《找不到Anacondaprompt终端的原因分析及解决方案》因为anaconda还没有初始化,在安装anaconda的过程中,有一行是否要添加anaconda到菜单目录中,由于没有勾选,导致没有菜... 目录问题原因问http://www.chinasem.cn题解决安装了 Anaconda 却找不到 An

Spring定时任务只执行一次的原因分析与解决方案

《Spring定时任务只执行一次的原因分析与解决方案》在使用Spring的@Scheduled定时任务时,你是否遇到过任务只执行一次,后续不再触发的情况?这种情况可能由多种原因导致,如未启用调度、线程... 目录1. 问题背景2. Spring定时任务的基本用法3. 为什么定时任务只执行一次?3.1 未启用

mss32.dll文件丢失怎么办? 电脑提示mss32.dll丢失的多种修复方法

《mss32.dll文件丢失怎么办?电脑提示mss32.dll丢失的多种修复方法》最近,很多电脑用户可能遇到了mss32.dll文件丢失的问题,导致一些应用程序无法正常启动,那么,如何修复这个问题呢... 在电脑常年累月的使用过程中,偶尔会遇到一些问题令人头疼。像是某个程序尝试运行时,系统突然弹出一个错误提