noone___'s blog
0%

THM打靶日寄57-Advent of Cyber 2024:Day21

发表于 更新于 分类于
啊,逆向,我吗

  • 反汇编和反编译

    反汇编二进制文件会显示其执行的低级机器指令,可以看到文件在哪个阶段将如何与系统交互

    反编译会将二进制文件转换为高级代码以便阅读,但这种转换会丢失变量名等信息

  • 多阶段二进制

    恶意软件逐渐使用多个负责不同操作的二进制文件,其流程通常如下:

    1. dropper:通常是轻量级的基本二进制文件,负责枚举操作系统以查看负载是否有效,如果验证某些条件,文件会从攻击者的基础设施中下载第二个更恶意的二进制文件

    2. payload:攻击的核心

      或者进一步,将攻击链拆分为其他二进制文件来逃避检测并使分析更困难

  • 逆向

    • PEstudio

      indicators 部分,可以看到二进制文件的一些可疑属性

    • ILSpy

      可以看到左侧面板包括框架使用的库,实际的反编译代码在 WarevilleApp 部分

      找到 Main 函数

      以及下载函数 DownloadAndExecuteFile

      explorer.exe/Downloads 文件夹下,打开

      可以看到在 My Pictures 下新建了一个 CollectedFiles.zip 文件

      UploadsFiles 函数看到上传的服务器:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
What is the function name that downloads and executes files in the WarevilleApp.exe?
DownloadAndExecuteFile

What is the name of the binary?
explorer.exe

What domain name is the one from where the file is downloaded after running WarevilleApp.exe?
mayorc2.thm

what is the name of the zip file?
CollectedFiles.zip

What is the name of the C2 server where the stage 2 binary tries to upload files?
anonymousc2.thm