[原创]KPOT窃密木马新变种分析

2天前 239

KPOT窃密木马新变种分析

概述：KPOT是窃密木马，主要用来盗取系统的各种信息，包括软件，硬件，系统等信息。

本次分析的KPOT的加解密秘钥为“RAfkLTapFMM12wme”。

1.1文件hash值

MD5：a49f082618faf36f0ecd02699708d38e

1.2文件无加壳

1.3编译时间

1.4导入表信息

导入函数就4个，一看就知道使用shellcode手法。

2.1程序主逻辑

2.2使用shellcode手法获取所需地址

使用shellcode手法获取kernel32.dll模块基地址，进程的默认堆地址，以及进程主线程的LastError值保存地址。

2.3获取Windows API函数地址

在sub_13058FB函数中，有一个长长的函数获取列表，具体逻辑自己分析，函数名字符串是加过密的，获取这些函数主要有两个目的，一是获取本机的各种信息，二是把获取的信息上传到恶意服务器。

下面是获取的函数列表：

2.4加密获取的系统信息

加密函数为sub_1303dd7，函数有4个参数。分别为需要加密的字符串指针，字符串长度，加密秘钥，加密秘钥字符串长度。系统数据被在原处（参数1地址）加密保存。

加密逻辑反汇编分析：

加密逻辑od逆向调试分析：

这是加密前的状态。

2.5上传系统信息

最重要的一步，使用http协议通过80端口，将本机的系统信息上传到服务器中。恶意服务器现在还能用哦！反正我是虚拟机，不在乎了。

后面使用send函数再次发送了一次，我就不分析了。可能使用为了确保发送成功。

[推荐]看雪企服平台，提供项目众包、安全分析、定制项目开发、APP等级保护、渗透测试等安全服务！