利用第三方软件0day漏洞加载和执行的木马分析

图 4. 使用含有恶意代码的参数执行含有 0day 漏洞的文件

3、由于 science.exe对输入的参数没有检查，当输入的参数长度过长时，造成栈溢出

图 5. 漏洞细节：由于软件解析参数时没有校验长度，导致缓冲区溢出

图6.漏洞利用细节：精心构造最后三字节数据精确定位跳转执行ShellCode

图 7.ShellCode 的自解密算法

图8. ShellCode的功能是读取并解密Config.dat文件，直接在内存中加载执行

图9.创建一个系统服务，服务对应的镜像文件为science.exe，并带有恶意参数

木马通过创建服务来实现永久地驻留在用户电脑中，实现长期地监控。完成服务创建后，即完成了木马的安装过程，为了隐蔽运行不被用户发觉，木马服务启动后会以创建傀儡进程的方式注入到svchost.exe进程中，在该进程中连接C&C服务器，连接成功后黑客便可通过该木马监视用户桌面、窃取用户任意文件、记录用户键盘输入、窃取用户密码、打开摄像头和麦克风进行监视监听等。从而实现远程控制目标计算机的目的。