前幾天晚上閑來無事，朋友給了我一個445批量工具，可能有后門程序，讓我分析一下。經(jīng)過分析我發(fā)現(xiàn)后門位于dll文件中，抓雞大牛們要小心了。
0×01 分析過程
文件結(jié)構(gòu)如下：

 
程序的運行過程很簡單，運行bat文件，就是掃描445端口，然后利用eternalblue攻擊，再加載payload的dll文件。那么后門在哪呢？

 
在這個dll文件中，大魚吃小魚。好，分析一下這個dll文件，沒加殼�？聪耫ll入口函數(shù)：

 
這是dllmain函數(shù)：

 
我們可以看到調(diào)用了sub_10001160()這個函數(shù)，跟一下看看：

 
這是什么意思呢？增加賬號可以理解，下邊的Sleep，WinExec這是要干什么？我們讓程序sleep，接著執(zhí)行c:\users\m.exe這個文件。這個m.exe是怎么來的，可以看到上邊有個調(diào)用sub_100001020(),跟進去看一下：

 
從這個網(wǎng)站上下載xzz.exe文件，然后再執(zhí)行，看看這個網(wǎng)站有什么東西。

 
東西不少，下載xzz.exe分析一下。首先釋放如下文件，并執(zhí)行這些文件。

 
反編譯888.exe，發(fā)現(xiàn)，888.exe從資源CPP里讀取文件，寫入到磁盤里，名字是隨機數(shù)字的dll，就是圖中的5586317.dll，也是老思路了。

 

 

 
利用dll加載工具，首先加載運行dll文件，之后創(chuàng)建文件并運行w3wp.exe。
利用w3w.exe加載5586317.dll,創(chuàng)建服務。

 
反編譯5586317.dll，可以看到動態(tài)加載各種dll，動態(tài)調(diào)用函數(shù)，免殺常用手段。

 

 
創(chuàng)建系統(tǒng)服務，名字是w3wp,描述為Microsoft Corporationot。發(fā)起網(wǎng)絡連接，遠控反彈。

 
反彈到8881端口w3wp.exe發(fā)起的，反彈到6543端口是svchost.exe*32發(fā)起的。
可以看到svchost也加載了5586317.dll文件 ，另一個svchost加載了Mick.exe文件。

 

 
反編譯Mick.exe，簡單分析一下。發(fā)現(xiàn)這個程序在c盤根目錄記錄了log，也寫入了服務，反彈端口。