前幾天晚上閑來(lái)無(wú)事，朋友給了我一個(gè)445批量工具，可能有后門(mén)程序，讓我分析一下。經(jīng)過(guò)分析我發(fā)現(xiàn)后門(mén)位于dll文件中，抓雞大牛們要小心了。
0×01 分析過(guò)程
文件結(jié)構(gòu)如下：

 
程序的運(yùn)行過(guò)程很簡(jiǎn)單，運(yùn)行bat文件，就是掃描445端口，然后利用eternalblue攻擊，再加載payload的dll文件。那么后門(mén)在哪呢？

 
在這個(gè)dll文件中，大魚(yú)吃小魚(yú)。好，分析一下這個(gè)dll文件，沒(méi)加殼。看下dll入口函數(shù)：

 
這是dllmain函數(shù)：

 
我們可以看到調(diào)用了sub_10001160()這個(gè)函數(shù)，跟一下看看：

 
這是什么意思呢？增加賬號(hào)可以理解，下邊的Sleep，WinExec這是要干什么？我們讓程序sleep，接著執(zhí)行c:\users\m.exe這個(gè)文件。這個(gè)m.exe是怎么來(lái)的，可以看到上邊有個(gè)調(diào)用sub_100001020(),跟進(jìn)去看一下：

 
從這個(gè)網(wǎng)站上下載xzz.exe文件，然后再執(zhí)行，看看這個(gè)網(wǎng)站有什么東西。

 
東西不少，下載xzz.exe分析一下。首先釋放如下文件，并執(zhí)行這些文件。

 
反編譯888.exe，發(fā)現(xiàn)，888.exe從資源CPP里讀取文件，寫(xiě)入到磁盤(pán)里，名字是隨機(jī)數(shù)字的dll，就是圖中的5586317.dll，也是老思路了。

 

 

 
利用dll加載工具，首先加載運(yùn)行dll文件，之后創(chuàng)建文件并運(yùn)行w3wp.exe。
利用w3w.exe加載5586317.dll,創(chuàng)建服務(wù)。

 
反編譯5586317.dll，可以看到動(dòng)態(tài)加載各種dll，動(dòng)態(tài)調(diào)用函數(shù)，免殺常用手段。

 

 
創(chuàng)建系統(tǒng)服務(wù)，名字是w3wp,描述為Microsoft Corporationot。發(fā)起網(wǎng)絡(luò)連接，遠(yuǎn)控反彈。

 
反彈到8881端口w3wp.exe發(fā)起的，反彈到6543端口是svchost.exe*32發(fā)起的。
可以看到svchost也加載了5586317.dll文件 ，另一個(gè)svchost加載了Mick.exe文件。

 

 
反編譯Mick.exe，簡(jiǎn)單分析一下。發(fā)現(xiàn)這個(gè)程序在c盤(pán)根目錄記錄了log，也寫(xiě)入了服務(wù)，反彈端口。