RotaJakiro后门与Buni后门关联性分析
本文为看雪论坛优秀文章
看雪论坛作者ID:guyioo
同样的,recv函数也十分相似。
AES解密,其中aes_dec的采用的是AES-256, CBC模式,key&iv都是硬编码。
AES解密后得到以下“次级密文”:
从次级密文中取出有效密文,其中有效密文从第8字节开始,长度为明文长度减8,此处即为26-8=18字节。
而Buni后门中使用的C2加密算法为XOR。
与0xB1异或结果为 zabbixasaservice.com:443。
解密后可得
offset 0x09, 4 bytes -> payload length
offset 0x0d, 2 bytes -> key length
offset ox0f, 4 bytes -> cmdi
key的长度为0x8字节,payload 的长度为0x20字节,要执行的指令码为0x18320e0,即上报设备信息。
解压后做为新的AES密钥,配合参数解密样本中硬编码的加密指令。
最后发送至C2的数据包仍以上述结构组成,其中payload 经解密为上述指令执行的结果。
解析结果如下,要执行的指令码为0xdafe。
Buni的通信流量特征与RotaJakiro相似度较低。
最终上线包如下,RotaJakiro与海莲花上线包明文结构一样,关键字段值基本相同。
Buni上线包如下:
Buni指令码为WORD类型,未发现指令码共享。
看雪ID:guyioo
https://bbs.pediy.com/user-home-855355.htm
看雪2022KCTF秋季赛官网:https://ctf.pediy.com/game-team_list-18-29.htm
# 往期推荐
球分享
球点赞
球在看
点击“阅读原文”,了解更多!
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注KnowSafe微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
- Linux 往事:一个不会像 GNU 那样大而专业的 OS 是如何成为主流的?
- 《eBPF安全开发与攻防对抗》
- 马斯克 18 岁儿子请愿改名,欲断绝父子关系
- 基础能力、分布式能力、系统应用…OpenHarmony 3.1 Release 版本带来全方位升级
- 张耀疆:赋能业务是首席信息安全官的发展方向
- 看雪·众安 2021 KCTF 秋季赛 | 第五题设计思路及解析
- 打开“新视界”:骁龙XR2机型合辑
- 大数据+AI,看“腾讯大数据-天工”如何引领隐私计算浪潮
- 高通QCC5141助力Cleer Ally Plus II真无线降噪耳机打造顶级聆听体验
- 又小拍拍了拍你:Open Talk 2021年开年第一期来了
- 可恶的爬虫直接把生产 6 台机器爬挂了!
- 红帽 与 CentOS 之间的恩怨情仇
赞助链接