Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Шелл-код Agent Tesla. Изучаем новые приемы реверса малвари в Ghidra
Содержание статьи
- Загружаем шелл-код в дизассемблер
- Загружаем шелл-код в отладчик
- Декодируем хеши WinAPI
- Исследуем djdqvq.sra
- GarbageMan
- Выводы
В сегодняшней статье я покажу, что делать с извлеченным из вредоноса шелл‑кодом: будем его запускать и отлаживать. Разберемся, как работать с функцией WinAPI, если она вызывается по хешу, а в процессе отладки расшифруем полезную нагрузку и научимся извлекать инфу из обфусцированных файлов .NET.
Мы продолжим работу, начатую в моей прошлой статье, где мы начали реверсить Agent Tesla и вытащили шелл‑код из инсталлятора NSIS.
Загружаем шелл-код в дизассемблер
В прошлый раз мы договорились использовать Ghidra, продолжим традицию и в этой статье. Итак, загружаем файл c шелл‑кодом в дизассемблер и видим, что начало шелл‑кода не дизассемблировалось: перед нами просто необработанные байты. Это не нужно игнорировать, потому что неправильное начало анализа может поломать кучу остального проанализированного кода.
Результат загрузки шелл‑кода, первые байты не дизассемблировались
Не страшно, просто ставим курсор на начало байтовой строки и выбираем в контекстном меню Disassemble, дальше Ghidra сделает все за нас.
Исправили дизасм шелл‑кода
После того как привели анализ в порядок, видим с самого начала шелл‑кода переход в функцию. Идем в нее и смотрим в начало — там видим портянку кода, где данные помещаются на стек. Приводим эти данные в удобочитаемый вид (приводим числа в char в контекстном меню), видим появившееся название файла djdqvq.sra. Вспоминаем, что это один из трех файлов, которые находились в NSIS-инсталляторе. Стало быть, шелл‑код работает с этим файлом.
Шелл‑код работает с djdqvq.sra
Интересно, что будет, если загрузить этот файл в DiE? Инструмент не определил ровным счетом ничего, но на вкладке энтропии можно увидеть картину, характерную для сплошного шифротекста.
Энтропия djdqvq.sra
Источник: xakep.ru
