eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 сентября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: stronglogic, dma (+6 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Help распаковать зловред (NET/confuser)
Посл.ответ Сообщение

Ранг: 10.6 (новичок)
Статус: Участник

Создано: 8 сентября 2019 09:04 · Поправил: Sn New!
Цитата · Личное сообщение · #1

Помогите, пожалуйста, привести к читаемому коду малваря, die определяет как confuser 1.9 & NET
Пробовал подсунуть к de4dot - распаковывает, но слишком много мусора на выходе получается, и думаю основное тело зловреда походу в ресурсах сидит. Кому не сложно или интересно посмотрите, хотелось бы понять что оно делает.

--> google_drive <--
pwd 123

Ранг: 32.5 (посетитель)
Статус: Участник

Создано: 8 сентября 2019 12:45 New!
Цитата · Личное сообщение · #2

Sn, а с чего решили, что это зловред, если не знаете, что он делает?

Ранг: 10.6 (новичок)
Статус: Участник

Создано: 8 сентября 2019 13:08 · Поправил: Sn New!
Цитата · Личное сообщение · #3

Привет, Ну хотя бы потому что добавляет (ДОБАВЛЯЛОСЬ 100%) в автозагрузку себя под видом известных программ.


Ранг: 302.0 (мудрец)
Статус: Участник

Создано: 8 сентября 2019 18:22 New!
Цитата · Личное сообщение · #4

Sn

Читай тут --> Link <--

Но это всего лишь системные логгеры, они снимают сервисную активность(те ядерные интерфейсы). Но не всегда можно по этой инфе выяснить что делает апп. Комовские апп отлаживать не лучшая идея. Там отладки нет, забирается образ и на декомпиляцию.

Ранг: 32.5 (посетитель)
Статус: Участник

Создано: 8 сентября 2019 20:31 · Поправил: Adler New!
Цитата · Личное сообщение · #5

Sn пишет:
и думаю основное тело зловреда походу в ресурсах сидит

Нашел только, что в ресурсах запакована dll содержащая только ресурсы, среди которых куча каких то строк разной длины вроде "20KEV9gs1uusDY0zYb", пара картинок и какой то бинарный массив в 112Кб, предполагаю, что зашифрованный...
При запуске в отладчике и/или песочнице в автозагрузку ничего не пишет. При беглом просмотре кода нашел что -то похожее на проверку дебагера, но не разбирался как это работает и что делает. По крайней мере после запуска в отладчике ничего не происходит, просто висит в процессах без какой то визуально заметной активности.
И это похоже не только confuser, ну или какой то модифицированный мод.

| Сообщение посчитали полезным: Sn


Ранг: 10.6 (новичок)
Статус: Участник

Создано: 9 сентября 2019 07:16 · Поправил: Sn New!
Цитата · Личное сообщение · #6

Adler пишет:
среди которых куча каких то строк разной длины вроде "20KEV9gs1uusDY0zYb"

Возможно из этих строк формируется имя для копии exeшника зловреда с последующей пропиской в автозаугрузку, вот такая активность была замечена (скрин в аттаче), также видел копию в папке %TEMP% под именем что-то вроде "DIF.exe"...
Благодарю за помощь.

Пробовал запускал сие гуано через dnspy с bp на Assembly.Load(), получилось сдампить сборку AParcEngine.dll, не совсем пойму пока, что оно делает, тоже обфусцировано, каким то smart assembly на этот раз, как говорит die.

--> activity+apark <--

Ранг: 32.5 (посетитель)
Статус: Участник

Создано: 9 сентября 2019 07:25 New!
Цитата · Личное сообщение · #7

Sn пишет:
AParcEngine.dll

Ее я тоже нашел, чуть позже. В dnspy половина методов не читабельны, надо в IL разбираться...

Ранг: 10.6 (новичок)
Статус: Участник

Создано: 9 сентября 2019 07:54 · Поправил: Sn New!
Цитата · Личное сообщение · #8

Уже что-то проясняется...
--> pict <--

Adler пишет:
надо в IL разбираться...

Попробую, спасибо.

Ранг: 317.4 (мудрец)
Статус: Участник
ILSpector Team

Создано: 9 сентября 2019 10:37 New!
Цитата · Личное сообщение · #9

Sn пишет:
Уже что-то проясняется...
код - это уже совсем противоправное действие. Но это все таки подготовка, интересно что потом он делает

Ранг: 10.6 (новичок)
Статус: Участник

Создано: 9 сентября 2019 11:57 · Поправил: Sn New!
Цитата · Личное сообщение · #10

Medsft пишет:
интересно что потом он делает

Подозреваю что-то нехорошее
(например загружает и исполняет другие сборки,

Adler, есть какието варианты привести к более дружественному виду данную сборку для анализа, или только ILDasm?

Ранг: 32.5 (посетитель)
Статус: Участник

Создано: 9 сентября 2019 12:31 New!
Цитата · Личное сообщение · #11

Sn пишет:
Adler, есть какието варианты привести к более дружественному виду данную сборку для анализа, или только ILDasm?

Это у Medsft надо спрашивать, я не сильно шарю. Мне такие способы не известны.
P.S. IL там же в DnSpy смотреть можно выбрав его вверху вместо "C#"...

Ранг: 10.6 (новичок)
Статус: Участник

Создано: 9 сентября 2019 13:21 · Поправил: Sn New!
Цитата · Личное сообщение · #12

Adler пишет:
P.S. IL там же в DnSpy смотреть можно выбрав его вверху вместо "C#"...

Кстати, да, спасибо за подсказку, я знал это, но благополучно забыл. (вместо этого пытался найти эту фичу в контекстном меню :s14

Medsft, не расскажете более подробно, как узнать что оно там делает дальше? или только IL копать?


Ранг: 227.0 (наставник)
Статус: Участник
radical

Создано: 9 сентября 2019 14:45 New!
Цитата · Личное сообщение · #13

https://www.sendspace.com/file/dgkk49

Вот тебе пейлоад.
pass:111

dumped.exe получил подебажив в ольке, а дллку (raw.bin) уже из dumped.exe (дебажил DnSpy).

Добавлено спустя 2 минуты
Кстати, второй файлик (raw.bin) есть на --> ВТ <--

| Сообщение посчитали полезным: Sn


Ранг: 317.4 (мудрец)
Статус: Участник
ILSpector Team

Создано: 9 сентября 2019 16:23 New!
Цитата · Личное сообщение · #14

DimitarSerg-зазипуй твою находку и положи пож еще раз. Чето или сам туплю или они не нравятся даже отключенному АВ не могу их даже посмотреть)))

Sn ну довольно необычные концы блоков поэтому refactory не может их в читаемый C# перевести, можно занятся.Я бы сказал что хитрый кодер чтото позволяет смотреть в C# а чтото нет.Самый простой способ найти сырки dumbassembly на тутсях(они там на форуме были) и прогнать сборку через него.

Меня же интересует как он права админа получает (на уровне C#) для реализации содержимого метода который на вашей фото.Но не критично поэтому прогу не копал

| Сообщение посчитали полезным: Sn, Adler


Ранг: 10.6 (новичок)
Статус: Участник

Создано: 9 сентября 2019 17:22 · Поправил: Sn New!
Цитата · Личное сообщение · #15

Medsft пишет:
зазипуй

--> Link <--

Medsft пишет:
хитрый кодер чтото позволяет смотреть в C# а чтото нет.Самый простой способ найти сырки dumbassembly на тутсях(они там на форуме были) и прогнать сборку через него.

Интересно, спасибо за информацию.

Medsft пишет:
как он права админа получает

Никак вроде, от админа запускать самому надо.

DimitarSerg, огромная благодарность за помощь! без Вас не разобрался бы.
между прочим, именно вы меня опять выручили здесь, как и 6 лет назад ... жаль только, что я ничему так и не научился за это время.

Ранг: 32.5 (посетитель)
Статус: Участник

Создано: 9 сентября 2019 17:25 · Поправил: Adler New!
Цитата · Личное сообщение · #16

Medsft пишет:
Меня же интересует как он права админа получает

Не знаю как он там потом с автозагрузки запускается, а просто при запуске с UAC он запрашивает права стандартным способом, не знаю правда как, через манифест или через проверку прав и перезапуск, просто не смотрел.

Ранг: 317.4 (мудрец)
Статус: Участник
ILSpector Team

Создано: 9 сентября 2019 19:26 · Поправил: Medsft New!
Цитата · Личное сообщение · #17

Adler пишет:
не знаю правда как
спасибо но уже не интересно, я думал научились втихую это делать))))))))

Добавлено спустя 3 минуты
Sn пишет:
Medsft пишет:
зазипуй
--> Link <--
спасибо

Добавлено спустя 13 минут
посмотрел немножко еще код... загрузчик гораздо интересней тем то что он инжектит (потому и закрыт обфускатором), в bluestacks залезать умеет и похоже из virtual box вылезать(не умеет детект только))).Нормальный кодер похоже писал

Добавлено спустя 14 минут
и почему он тут незарегался) поболтали бы

Добавлено спустя 30 минут
Есть такие строки "Coded for ByteCrypter. Revision 6"
Но это уже наши ParCrypter заплагиатили похоже

Ранг: 10.6 (новичок)
Статус: Участник

Создано: 9 сентября 2019 20:20 · Поправил: Sn New!
Цитата · Личное сообщение · #18

Medsft пишет:
Но это уже наши ParCrypter заплагиатили похоже

Не смею предположить кто для вас наши, знаю лишь, что тот, от кого "прилетело" сие чудо - точно не разговаривали на нашем.

Добавлено спустя 26 минут
Medsft пишет:
и почему он тут незарегался) поболтали бы

--> Link <-- Не оно случаем?
 eXeL@B —› Вопросы новичков —› Help распаковать зловред (NET/confuser)
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS