注入代码主要用于两个方面,1网络连接,地址: 5.9.32.230:443;2对文件Ntkrnlpa.exe进行写入操作,用于对释放的驱动程序进行保护。
通过绿盟科技翠鸟软件行为分析系统Kingfisher中,可以看到该文件的执行流程图如下所示:
Droper2.exe的执行过程
Driver.sys
驱动文件分32bit和64bit两类,执行的基本功能相同。
驱动程序MD5列表
驱动程序MD5列表
驱动文件主要用于代码注入,其注入代码完成与C&C服务器通信。
SSH_Backdoor.exe(dropbear.exe)
MD5: fffeaba10fd83c59c28f025c99d063f8
功能:这个文件是一个SSH服务器程序,是从现有的第三方SSH服务端dropbear的代码修改的。使用了内置的默认密码(passDs5Bu9Te7)进行登录验证。
SSH服务器密码校验代码
SSH服务器程序的RSA认证密钥
该文件是由一段Shell脚本启动的:
1234
Set WshShell=CreateObject("WScript.Shell")WshShell.CurrentDirectory="C:\WINDOWS\TEMP\Dropbear\" WshShell.Run "dropbear.exe-rrsa-ddss-a-p6789",0,false
Killdisk组件
文件1:72bd40cd60769baffd412b84acc03372(MD5)
以服务启动,创建C:\Windows\svchost.exe文件,将自己的代码写入到该文件中,然后将该文件作为服务启动。启动过程可以设置不同的参数,实现不同的功能。
以服务形式启动该文件的代码片段
以服务形式启动该文件的代码片段
枚举系统进程并提升进程权限
枚举系统进程并提升进程权限
设置系统注册表配置项代码片段
设置系统注册表配置项代码片段
获取关机权限代码片段
获取关机权限代码片段
文件2: 7361b64ddca90a1a1de43185bd509b64(MD5)
该文件主要用于获取系统权限与清除系统日志。
获取的权限包括:
1112131415
SE_SECURITY_PRIVILEGESE_BACKUP_PRIVILEGESE_RESTORE_PRIVILEGESE_SYSTEMTIME_PRIVILEGESE_SHUTDOWN_PRIVILEGESE_REMOTE_SHUTDOWN_PRIVILEGESE_TAKE_OWNERSHIP_PRIVILEGESE_SYSTEM_ENVIRONMENT_PRIVILEGESE_SYSTEM_PROFILE_PRIVILEGESE_PROF_SINGLE_PROCESS_PRIVILEGESE_INC_BASE_PRIORITY_PRIVILEGESE_CREATE_PAGEFILE_PRIVILEGESE_INCREASE_QUOTA_PRIVILEGESE_MANAGE_VOLUME_PRIVILEGE
提升进程权限代码片段
提升进程权限代码片段
清除日志代码片段
清除日志代码片段
API编码代码片段
API编码代码片段
初始化安全描述符代码片段
初始化安全描述符代码片段
文件3: cd1aa880f30f9b8bb6cf4d4f9e41ddf4
该文件主要用于对硬盘设备PhysicalDrive%Num%(Num从0到10)进行清零。
硬盘清零代码片段
硬盘清零代码片段
文件4: 66676deaa9dfe98f8497392064aefbab
添加了对多种文件类型的处理。
部分文件类型列表
