两个BackDoor样本的共性“基因”与差异

样本名称：BackDoor-FALR!001DD76872D8(McAfee)

MD5：001dd76872d80801692ff942308c64e6（以下称样本001）

样本名称：BackDoor-FALR!8A86DF3D382B(McAfee)

MD5：8a86df3d382bfd1e4c4165f4cacfdff8（以下称样本8a8）

0X01 关键字符串信息

样本001：

样本8a8:

0X02 提权操作

样本枚举系统进程，进行提权操作。

OpenProcessToken函数用来打开与进程相关联的访问令牌。要对一个任意进程（包括系统安全进程和服务进程）进行指定了写相关的访问权的OpenProcess操作，只要当前进程具有SeDeDebug权限就可以了。

即使用Administrator帐号对一个系统安全进程执行OpenProcess(PROCESS_ALL_ACCESS,FALSE, dwProcessID)还是会遇到“访问拒绝”的错误。

什么原因呢？原来在默认的情况下进程的一些访问权限是没有被启用（Enabled）的，所以要做的首先是启用这些权限。

与此相关的一些API函数有OpenProcessToken、LookupPrivilegevalue、AdjustTokenPrivileges。

修改一个进程的访问令牌，首先要获得进程访问令牌的句柄，这可以通过OpenProcessToken得到。

样本001:

样本8a8:

以上两个样本关于提权的关键API函数的控制流程图和物理链结构完全一样。

这也验证了Pr0.s的一个理念，很多样本会在某些操作上具有相同的“基因”。

0X03 网络操作

InternetConnect--WinInet函数系列，用于Internet的连接，连接的服务器：cas.m-e.org.ru，连接端口：80；一旦和服务器的连接已经建立，则打开相应的文件。

HttpOpenRequest和HttpSendRequest一起工作打开文件。

HttpOpenRequest去创建个请求句柄并且把参数存储在句柄中。

HttpSendRequest把请求参数送到HTTP服务器。

样本001:

样本8a8:

以上两个样本关于提权的关键API函数的控制流程图和物理链结构完全一样。

再一次，验证Pr0.s关于恶意代码共同“基因”的假设。

另外：

样本001中网络行为参数为DOMAIN：cas.m-e.org.ru

样本8a8中网络行为参数为DOMAIN：media.finanstalk.ru

感谢观看！本期到此结束，更多资讯、干货请关注“e安在线”官网网站。