Defcon 23最新开源工具NetRipper代码分析与利用
0×01 研究背景
在分析了俄罗斯人被曝光的几个银行木马的源码后,发现其大多均存在通过劫持浏览器数据包来获取用户个人信息的模块,通过截获浏览器内存中加密前或解密后的数据包来得到数据包的明文数据。在Defcon 23被发布的工具NetRipper具备了以上恶意银行木马的这一能力,其开源的代码结构清晰,易于扩展,研究该工具对于研究该类恶意行为很有意义。其github地址在【github】 ,作者还提供了metasploit和powershell版本的利用模块,本文将分析其不同版本模块均会用到的c++代码实现的核心部分。
0×02 NetRipper工具概括
该开源工具实现的功能,主要是通过Hook进程的网络函数关键点(封包加密之前与封包解密之后的网络函数)来劫持客户端程序的明文数据。其中包括了诸多主流客户端,例如:Chrome,Firefox,IE,WinSCP,Putty以及一些代码库中提供的网络封包加解密函数接口,根据函数接口的函数性质来分的话,可以分为“未导出的函数接口”和“导出的函数接口”。其中Chrome,Putty,SecureCrt以及WinSCP中的网络加解密接口是属于UnExported,需要通过逆向工程来找到其Signature的位置,然后通过HOOK劫持;例如Mozilla Firefox使用了nss3.dll和nspr4.dll这两个模块中的加解密函数,nss3.dll中导出了PR_Read,PR_Write以及PR_GetDescType,后者导出了PR_Send和PR_Recv。其他的例如ncrypt.dll、secur32.dll和ssh2core73u.dll等。
还有对winsock2下的普通网络传输函数进行Hook来直接获取到一些未加密的信息。
对于未导出函数hook的处理需要先找出hook点,这比hook已知导出函数的过程复杂许多,首先需要通过逆向分析进程的收发包过程来找到关键点(加密前与解密后的数据包处理的函数接口)。例如,对于chrome/putty/winscp进程是需要这样做的,可以通过其开源的代码作为辅助分析,首先找到其网络函数的Signature,HOOK之前在进程的内存空间中搜索其所在地址:
伴随着软件的升级与安全保护的增强,可能明文层次上的收发包函数会有一些变化,那么NetRipper代码就需要修改去适应这些变化,重新调试分析找到对应的Signature,进而重新设置Hook点。
以putty为例来验证下:
使用CE查找发送函数的标识,位置在0x00408AD7。
IDA中显示 Sub_408ad7这个函数的原型定义与代码中声明是一致的:
至于如何调试找出未导出函数的HOOK点,这方面的内容较多,下一篇文章详细分析。对于putty和winscp客户端,因为均已开源,可以参考其开源的代码;对于chrome,那就需要逆向调试程序来定位HOOK点了。
0×03 Hook的偏移地址计算
E8 XXXXXXXX
其中XXXXXXXX = 目标地址 – 原始地址 – 5
举个例子,OD加载calc.exe:
指令中的偏移地址:0xFFFF99EB
目标地址:0x6c768
当前指令地址:0x72d78
计算公式:0xFFFFFFFF – ( 0x72d78 + 5 – 0x6c768 ) = 0xFFFF99eb
QA1:为什么需要使用0xFFFFFFFF减去偏移值呢?
0×01 研究背景
在分析了俄罗斯人被曝光的几个银行木马的源码后,发现其大多均存在通过劫持浏览器数据包来获取用户个人信息的模块,通过截获浏览器内存中加密前或解密后的数据包来得到数据包的明文数据。在Defcon 23被发布的工具NetRipper具备了以上恶意银行木马的这一能力,其开源的代码结构清晰,易于扩展,研究该工具对于研究该类恶意行为很有意义。其github地址在【github】 ,作者还提供了metasploit和powershell版本的利用模块,本文将分析其不同版本模块均会用到的c++代码实现的核心部分。
0×02 NetRipper工具概括
该开源工具实现的功能,主要是通过Hook进程的网络函数关键点(封包加密之前与封包解密之后的网络函数)来劫持客户端程序的明文数据。其中包括了诸多主流客户端,例如:Chrome,Firefox,IE,WinSCP,Putty以及一些代码库中提供的网络封包加解密函数接口,根据函数接口的函数性质来分的话,可以分为“未导出的函数接口”和“导出的函数接口”。其中Chrome,Putty,SecureCrt以及WinSCP中的网络加解密接口是属于UnExported,需要通过逆向工程来找到其Signature的位置,然后通过HOOK劫持;例如Mozilla Firefox使用了nss3.dll和nspr4.dll这两个模块中的加解密函数,nss3.dll中导出了PR_Read,PR_Write以及PR_GetDescType,后者导出了PR_Send和PR_Recv。其他的例如ncrypt.dll、secur32.dll和ssh2core73u.dll等。
还有对winsock2下的普通网络传输函数进行Hook来直接获取到一些未加密的信息。
对于未导出函数hook的处理需要先找出hook点,这比hook已知导出函数的过程复杂许多,首先需要通过逆向分析进程的收发包过程来找到关键点(加密前与解密后的数据包处理的函数接口)。例如,对于chrome/putty/winscp进程是需要这样做的,可以通过其开源的代码作为辅助分析,首先找到其网络函数的Signature,HOOK之前在进程的内存空间中搜索其所在地址: copyright 无奈人生
伴随着软件的升级与安全保护的增强,可能明文层次上的收发包函数会有一些变化,那么NetRipper代码就需要修改去适应这些变化,重新调试分析找到对应的Signature,进而重新设置Hook点。
以putty为例来验证下:
使用CE查找发送函数的标识,位置在0x00408AD7。
IDA中显示 Sub_408ad7这个函数的原型定义与代码中声明是一致的: 无奈人生安全网
至于如何调试找出未导出函数的HOOK点,这方面的内容较多,下一篇文章详细分析。对于putty和winscp客户端,因为均已开源,可以参考其开源的代码;对于chrome,那就需要逆向调试程序来定位HOOK点了。
0×03 Hook的偏移地址计算
E8 XXXXXXXX
其中XXXXXXXX = 目标地址 – 原始地址 – 5
举个例子,OD加载calc.exe:
内容来自无奈安全网
指令中的偏移地址:0xFFFF99EB
目标地址:0x6c768
当前指令地址:0x72d78
计算公式:0xFFFFFFFF – ( 0x72d78 + 5 – 0x6c768 ) = 0xFFFF99eb
QA1:为什么需要使用0xFFFFFFFF减去偏移值呢?
本文来自无奈人生安全网