利用第三方軟件0day漏洞加載和執(zhí)行的木馬分析

圖 4. 使用含有惡意代碼的參數(shù)執(zhí)行含有 0day 漏洞的文件

3、由于 science.exe對(duì)輸入的參數(shù)沒(méi)有檢查，當(dāng)輸入的參數(shù)長(zhǎng)度過(guò)長(zhǎng)時(shí)，造成棧溢出

圖 5. 漏洞細(xì)節(jié)：由于軟件解析參數(shù)時(shí)沒(méi)有校驗(yàn)長(zhǎng)度，導(dǎo)致緩沖區(qū)溢出

圖6.漏洞利用細(xì)節(jié)：精心構(gòu)造最后三字節(jié)數(shù)據(jù)精確定位跳轉(zhuǎn)執(zhí)行ShellCode

圖 7.ShellCode 的自解密算法

圖8. ShellCode的功能是讀取并解密Config.dat文件，直接在內(nèi)存中加載執(zhí)行

圖9.創(chuàng)建一個(gè)系統(tǒng)服務(wù)，服務(wù)對(duì)應(yīng)的鏡像文件為science.exe，并帶有惡意參數(shù)

木馬通過(guò)創(chuàng)建服務(wù)來(lái)實(shí)現(xiàn)永久地駐留在用戶電腦中，實(shí)現(xiàn)長(zhǎng)期地監(jiān)控。完成服務(wù)創(chuàng)建后，即完成了木馬的安裝過(guò)程，為了隱蔽運(yùn)行不被用戶發(fā)覺(jué)，木馬服務(wù)啟動(dòng)后會(huì)以創(chuàng)建傀儡進(jìn)程的方式注入到svchost.exe進(jìn)程中，在該進(jìn)程中連接C&C服務(wù)器，連接成功后黑客便可通過(guò)該木馬監(jiān)視用戶桌面、竊取用戶任意文件、記錄用戶鍵盤(pán)輸入、竊取用戶密碼、打開(kāi)攝像頭和麥克風(fēng)進(jìn)行監(jiān)視監(jiān)聽(tīng)等。從而實(shí)現(xiàn)遠(yuǎn)程控制目標(biāo)計(jì)算機(jī)的目的。