前幾天晚上閑來無事，朋友給了我一個445批量工具，可能有后門程序，讓我分析一下。經過分析我發現后門位于dll文件中，抓雞大牛們要小心了。
0×01 分析過程
文件結構如下：

 
程序的運行過程很簡單，運行bat文件，就是掃描445端口，然后利用eternalblue攻擊，再加載payload的dll文件。那么后門在哪呢？

 
在這個dll文件中，大魚吃小魚。好，分析一下這個dll文件，沒加殼。看下dll入口函數：

 
這是dllmain函數：

 
我們可以看到調用了sub_10001160()這個函數，跟一下看看：

 
這是什么意思呢？增加賬號可以理解，下邊的Sleep，WinExec這是要干什么？我們讓程序sleep，接著執行c:\users\m.exe這個文件。這個m.exe是怎么來的，可以看到上邊有個調用sub_100001020(),跟進去看一下：

 
從這個網站上下載xzz.exe文件，然后再執行，看看這個網站有什么東西。

 
東西不少，下載xzz.exe分析一下。首先釋放如下文件，并執行這些文件。

 
反編譯888.exe，發現，888.exe從資源CPP里讀取文件，寫入到磁盤里，名字是隨機數字的dll，就是圖中的5586317.dll，也是老思路了。

 

 

 
利用dll加載工具，首先加載運行dll文件，之后創建文件并運行w3wp.exe。
利用w3w.exe加載5586317.dll,創建服務。

 
反編譯5586317.dll，可以看到動態加載各種dll，動態調用函數，免殺常用手段。

 

 
創建系統服務，名字是w3wp,描述為Microsoft Corporationot。發起網絡連接，遠控反彈。

 
反彈到8881端口w3wp.exe發起的，反彈到6543端口是svchost.exe*32發起的。
可以看到svchost也加載了5586317.dll文件 ，另一個svchost加載了Mick.exe文件。

 

 
反編譯Mick.exe，簡單分析一下。發現這個程序在c盤根目錄記錄了log，也寫入了服務，反彈端口。