利用漏洞(CVE-2012-0158)执行的样本分析 OS

admin 3月前 89

样本信息

样本名:doc_sample

大小: 162401 bytes

修改时间: 2012年9月4日, 15:39:18

MD5: 52E3DDB2349A26BB2F6AE66880A6130C

SHA1: A86DC1842355E6999DE100B85B85A7C1589E4BBC

CRC32: 7D21F812

CVE-2012-0158漏洞利用部分分析

该漏洞为典型的栈溢出漏洞,由于MSCOMCTL.OCX模块在进行数据拷贝时,判断条件错误,导致大量数据拷贝过程中造成栈破坏,覆盖返回地址,从而造成漏洞利用。

该样本在构造时的相关数据如下:

拷贝的字节大小:0x8181字节;

返回地址:0x27583c30,该地址位于MSCOMCTL.OCX模块中,汇编代码为jmp esp;

后面部分为ShellCode部分。

ShellCode部分分析

主要功能:解密释放PE文件,并运行该文件。

首先解密ShellCode,解密算法为异或0x9C

动态获取API地址:API函数名称及字符串采用Hash值,首先获取Kernel32.dll模块基址,遍历到处表,获取函数地址

获取样本文件句柄,通过不断试探方式获取样本句柄,初始句柄值为4,每次循环加4,通过GetFileSize函数获取文件大小,直到文件大小为0x2000时,才找到样本文件句柄:

释放PE可执行文件:从文件中获取PE文件加密数据,并进行解密操作,将解密后PE数据写入到文件”C:\Users\用户名\Appdata\Local\Temp\hkcmd.exe”,并将该文件设置为隐藏属性

解密前数据在文件中偏移0x21E0处,大小为0x2000:

解密代码:

解密后数据为PE格式:

创建隐藏属性文件”C:\Users\用户名\Appdata\Local\Temp\hkcmd.exe”,将PE数据写入到文件,并允许该文件。

hkcmd.exe病毒程序分析

主要功能:服务控制程序,释放服务文件datac1en.dll,创建系统自启动服务项

详细分析略。

总结

本次分析主要分析漏洞利用部分,CVE-2012-0158漏洞可以构造任意大小数据,所以病毒的利用空间大。


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:jsp手动注入教程
下一篇:app隐藏大师绕过密码与多开分析
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回