1.首先拿到样本,载入ida发现有一个类似于压缩壳解码的函数,跳过后dump出pe,修复对齐和section header。
2.该样本会检查是否运行在wow64环境,检测名为Ultra3的服务和一系列事件来确保是第一次启动。
3.随后该样本会内存加载资源段的一个pe文件尝试利用CVE-2009-1123执行特权代码
4.如果该漏洞利用成功将直接内存加载驱动文件,然后退出该样本。否则将会尝试利用CVE-2010-0232进行权限提升,该样本通过尝试改写注册表currentversion字段来判断是否权限提升成功。如果提权失败则返回错误代码退出样本。如果该样本运行在vista以上版本并且是64位系统,则会尝试通过virtualbox的驱动漏洞关闭dse。然后打开加载驱动权限,手动填写注册表的服务,通过ZwLoadDriver加载驱动。
5.该驱动会解密自身的代码,然后重新改写pe的入口,我们可以在解码完后用windbg dump出来然后修复。
5.修复完后该样本就是安全客那篇文章最后dump出来的样本(https://www.anquanke.com/post/id/189549)
6.该样本在驱动入口首先创建了一个全局的结构体储存一些信息,随后创建之前在应用层检测的全局事件。
struct
{
int unknown; //0xffffffff
int* DriverStart;
int DriverSize;
int* ntoskrl_base;
int ntoskrl_size;
int process_id;
}
7.然后把自身的整个pe映像复制到了一块新申请的内存并做了重定位后重新执行驱动入口,然后执行关键代码。
1 unsigned int __stdcall fix_reloc(int a1, int a2)
2 {
3 unsigned int result; // eax
4 int TypeOffset; // [esp+4h] [ebp-34h]
5 _DWORD *i; // [esp+Ch] [ebp-2Ch]
6 int v5; // [esp+14h] [ebp-24h]
7 int v6; // [esp+1Ch] [ebp-1Ch]
8 int v7; // [esp+20h] [ebp-18h]
9 unsigned __int16 v8; // [esp+24h] [ebp-14h]
10 unsigned int v9; // [esp+28h] [ebp-10h]
11 int v10; // [esp+2Ch] [ebp-Ch]
12 int offset; // [esp+34h] [ebp-4h]
13
14 v6 = *(_DWORD *)(a1 + 0x3C) + a1;
15 if ( *(_WORD *)(v6 + 0x18) == 0x10B )
16 {
17 v5 = *(_DWORD *)(v6 + 0xA0); // image_directory_entry_basereloc.VirtualAddress
18 v7 = a2 - *(_DWORD *)(v6 + 0x34);
19 v10 = *(_DWORD *)(v6 + 0x70);
20 }
21 else
22 {
23 v5 = *(_DWORD *)(v6 + 0xB0);
24 v7 = a2 - *(_DWORD *)(v6 + 0x30);
25 v10 = *(_DWORD *)(v6 + 0x80);
26 }
27 if ( !v7 )
28 return 0;
29 if ( v5 )
30 {
31 for ( i = (_DWORD *)(v5 + a1); i[1]; i = (_DWORD *)(v5 + a1) )// 修复重定位
32 {
33 TypeOffset = v5 + a1 + 8;
34 v8 = (unsigned int)(i[1] - 8) >> 1; // (IMAGE_BASE_RELOCATION.SizeOfBlock
35 // -sizeof(IMAGE_BASE_RELOCATION.SizeOfBlock))
36 // /sizeof(TypeOffset)
37 v9 = 0; // 计算重定位条目的个数
38 while ( v9 < v8 )
39 {
40 offset = *i + (*(_WORD *)(TypeOffset + 2 * v9) & 0xFFF);// 待修复地址
41 switch ( (signed int)*(unsigned __int16 *)(TypeOffset + 2 * v9) >> 0xC )// Based relocation types
42 {
43 case 0:
44 goto LABEL_13;
45 case 1:
46 *(_WORD *)(offset + a1) += HIWORD(v7);
47 goto LABEL_13;
48 case 2:
49 *(_WORD *)(offset + a1) += v7;
50 goto LABEL_13;
51 case 3:
52 *(_DWORD *)(offset + a1) += v7; // 重定位之后的值 = 需要进行重定位的地址值 - IMAGE_OPTINAL_HEADER中的基址 + 实际基址
53 goto LABEL_13;
54 case 4:
55 return 0x21590064;
56 case 5:
57 case 6:
58 case 7:
59 case 8:
60 case 9:
61 return 0x21590064;
62 case 0xA:
63 *(_QWORD *)(offset + a1) += (unsigned int)v7;
64 LABEL_13:
65 ++v9;
66 break;
67 }
68 }
69 v5 += i[1];
70 }
71 result = 0;
72 }
73 else if ( v10 & 1 )
74 {
75 result = 0xFFFFFFFF;
76 }
77 else
78 {
79 result = 0;
80 }
81 return result;
82 }
8.内核重载,然后根据内核加载基址重定位全局变量。然后将自己加载内核中的ssdt内容复制到申请的内存池中确保后面hook api时取到的是正确的地址。
1 int __stdcall memLoad_fixRelocate(int a1, wchar_t *ntoskrl_path, int ntoskrl_base, int a4, int a5)
2 {
3 unsigned int v6; // eax
4 char v7[5]; // [esp+37h] [ebp-19h]
5 HANDLE ProcessHandle; // [esp+3Ch] [ebp-14h]
6 PVOID Buffer; // [esp+40h] [ebp-10h]
7 ULONG Length; // [esp+44h] [ebp-Ch]
8 HANDLE Handle; // [esp+48h] [ebp-8h]
9 PVOID P; // [esp+4Ch] [ebp-4h]
10
11 P = 0;
12 ProcessHandle = 0;
13 Buffer = 0;
14 *(_DWORD *)a4 = 0;
15 Handle = IoCreateFile_(ntoskrl_path, 0x8000); // open ntoskrnl
16 if ( Handle != (HANDLE)0xFFFFFFFF )
17 goto LABEL_15;
18 P = alloc_pool(0x208u);
19 if ( !P )
20 return 0x21590004;
21 *(_DWORD *)&v7[1] = sub_86911830((wchar_t *)P, 0x104u);
22 if ( !*(_DWORD *)&v7[1] )
23 {
24 if ( a1 )
25 {
26 *(_DWORD *)&v7[1] = sub_8693A3E0(&ProcessHandle, 0x400u, a1);
27 if ( *(_DWORD *)&v7[1] )
28 goto LABEL_30;
29 *(_DWORD *)&v7[1] = sub_8693A100((HANDLE)0xFFFFFFFF, (int)v7);
30 if ( *(_DWORD *)&v7[1] )
31 goto LABEL_30;
32 }
33 else
34 {
35 v7[0] = 0;
36 }
37 if ( v7[0] )
38 wcsncat((wchar_t *)P, L"\\SysWOW64\\", 0x104 - wcslen((const unsigned __int16 *)P));
39 else
40 wcsncat((wchar_t *)P, L"\\System32\\", 0x104 - wcslen((const unsigned __int16 *)P));
41 wcsncat((wchar_t *)P, ntoskrl_path, 0x104 - wcslen((const unsigned __int16 *)P));
42 *((_WORD *)P + 0x103) = 0;
43 Handle = IoCreateFile_((wchar_t *)P, 0);
44 if ( Handle == (HANDLE)0xFFFFFFFF )
45 {
46 *(_DWORD *)&v7[1] = 0x21590005;
47 goto LABEL_30;
48 }
49 LABEL_15:
50 Length = sub_86912690(Handle); // 查询文件长度
51 if ( Length == 0xFFFFFFFF )
52 {
53 *(_DWORD *)&v7[1] = 0xFFFFFFFF;
54 }
55 else
56 {
57 Buffer = alloc_pool(Length);
58 if ( Buffer )
59 {
60 if ( readfile(Handle, Buffer, Length) == 0xFFFFFFFF )
61 {
62 *(_DWORD *)&v7[1] = 0xFFFFFFFF;
63 }
64 else
65 {
66 Length = calc_pe_size_in_memory((int)Buffer);// 计算在内存中展开大小
67 *(_DWORD *)a4 = alloc_pool(Length);
68 if ( *(_DWORD *)a4 )
69 {
70 *(_DWORD *)&v7[1] = load_pe_in_memory(*(_DWORD *)a4, (int)Buffer);// 内存加载ntoskrnl
71 if ( !*(_DWORD *)&v7[1] )
72 {
73 v6 = ntoskrl_base ? fix_reloc(*(_DWORD *)a4, ntoskrl_base) : fix_reloc(*(_DWORD *)a4, *(_DWORD *)a4);// 用nt内核文件的加载基址来进行重定位修复,应该是准备内核重载
74 *(_DWORD *)&v7[1] = v6; // 修正新加载内核中的全局变量
75 if ( !v6 )
76 {
77 if ( a5 )
78 *(_DWORD *)a5 = Length;
79 }
80 }
81 }
82 else
83 {
84 *(_DWORD *)&v7[1] = 0x21590004;
85 }
86 }
87 }
88 else
89 {
90 *(_DWORD *)&v7[1] = 0x21590004;
91 }
92 }
93 }
94 LABEL_30:
95 if ( *(_DWORD *)&v7[1] )
96 {
97 free_pool(*(PVOID *)a4);
98 *(_DWORD *)a4 = 0;
99 }
100 free_pool(Buffer);
101 sub_8693A460(ProcessHandle);
102 free_pool(P);
103 if ( Handle != (HANDLE)0xFFFFFFFF )
104 sub_86912590(Handle);
105 return *(_DWORD *)&v7[1];
106 }
9.hook 0xC3号中断,后面inline hook 时用中断进行服务分发,利用dpc将线程跑在指定cpu上来读取多核idtr。
9.接着有类似于修复无模块seh的处理,这块我不太懂,如果有大佬知道的,可以告诉我。
0xA.接着保存了一个要hook函数信息的结构体,这块没有仔细阅读代码,不过猜测应该是利用了反汇编引擎动态分析的函数头部需要hook的字节数,同时生成了要hook代码。
struct
{
void* api_info; --->
{
void* new_api;
int hook_length;
void* orginal_api;
}
}
0xB.这些api具体hook的函数代码没有继续分析了,这个样本一直零零散散搞了这么久,感觉没必要在分析下去了。需要花点时间看看书了。