针对样本区某个CobaltStrike UDRI样本的快速分析

DisaPDB

好久不见xdm~
直入主题，原帖：CobaltStrike 1x_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和!
该样本在静态方面加入了大量的垃圾代码以混淆静态分析（主要是LLVM相关的），如图：


万幸的是，借助AI+反汇编器，我们可以快速定位到恶意载荷的实际加载逻辑，也就是地址0x1400060E8处：

在这个位置打开IDA，我们得到：


看起来很长？没关系，一点一点翻译给你听：
首先，获取 TEB → PEB → PEB_LDR_DATA → 模块链表（按加载顺序）的第一个 LIST_ENTRY：




接下来的sub_140004DA0 根据第一个参数（模块数据）和一个整数常量，从模块中提取一段数据，返回指针。
这个操作会重复六次，直到提取出完整的payload：

然后是核心加载逻辑，将 "chakra.dll" 复制到 v208 缓冲区，第二次比较哈希值，811101831，找到后 v42 = v43[3].Flink 保存模块数据。
接下来把加密数据使用chakra.dll作为核心密钥解密，过程很长，就不放完整了。RC4 的 PRGA（伪随机生成算法），用生成的密钥流对 v96（即 v200 指向的 940 字节缓冲区）进行 XOR 解密。解密后的数据覆盖原缓冲区，配合uuid完成shellcode解密。

最后就是加载逻辑，拼接执行：


至此，主逻辑解密完毕。

而解密之后呢：




嘿嘿，不多说了~
更新：该样本关联GitHub开源loader项目：NtDallas/Ulfberht： Shellcode loader