样本区的一枚远控分析

hjm666

• 前言
  

---

    样本区的一·枚远控样本，对远控有些兴趣想了解，便下手了。  
地址：https://www.52pojie.cn/forum.php?mod=viewthread&tid=989404&extra=page%3D1%26filter%3Dtypeid%26typeid%3D15&page=1

样本信息

---

文件名	RServ.exe
文件大小	898728 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	634caf9ff5ef2d2f66bdf06981260113

查壳




    无壳，但编译语言判断上有些迷，有这个原因，能猜测提供的样本还不是最初样本，还或是释放后的程序。

• 环境与工具
  

---

环境：VMware   WinXP (x64)
工具：火绒剑、IDA、吾爱OD、process、PEID、pexplorer、smsniff、regsnap、hex wrokshop，reshack

• 基础信息收集
  

---

静态分析，可疑字符串


敏感的API函数

在其资源文件中发现了一个大宝贝，dump下来进行保存

• 基础动态分析
  

---

开启相关的监控软件，进行运行样本
火绒剑捕获了样本创建了一个.hlp系统帮助文件，并注册了服务

创建了一个bat可执行文件

新创建了一个进程组

查看这个新创建的进程组动作信息

注册表发现注册表，系统服务新增了一个键值


注册表查看其详情


网络信息截获

样本创建的隐藏目录下的隐藏hlp文件


  就此已经能够大致分析出核心代码是怎么运行起来的了，样本创建了一个windows系统服务，然后启动这个服务，通过svchost.exe进程加载核心代码，隐蔽稳定运行核心代码。

• 深入分析
  

---

入口点

分析过程中发现了一个有意思的函数调用一些IDA和OD未检测出的函数
先加载相关dll的句柄

样本内存里存有一些API函数名字符串，通过寄存器偏移得到想要使用的api函数字符串地址，用getprocaddres函数将最终API函数的地址获取，随后调用这个函数，达到避过检测隐蔽效果，同时样本中含有大量的指针函数，内存地址中存放着函数地址，大大干扰了分析



大致流程

截取到创建互斥体



在继续获得系统环境，以及进行判断系统操作系统版本

同样是利用00411B90函数进行调用函数，截取到敏感函数，提权函数，以及免杀函数，在进行安全扫描是返回垃圾数据，这两个函数都在官方文档中未查找到，未公开，经过一番百度蛛丝马迹不得其详解。


创建了这个Remote.hlp文件，并将一段PE数据写入，经对对比数据，发现是在资源文件中发现的大宝贝



进行设置了文件夹，文件属性





重头戏创建系统服务

服务中查看

随后继续创建它的子项，其中Parameters项指向这个样本释放的伪装的.hlp后缀，windows系统的帮助文件



开启这个服务

利用net.exe继续开启这个服务

继续创建了一个bat文件，向其中写入了相关数据

在这个bat文件删除前，截获，发现ping  127.0.0.1  以及删除原本，以及自身文件

至此，通过创建的服务，启动核心代码，核心代码已经在计算机中潜藏并隐蔽运行

  如何解决，删除相关后门服务，以及释放文件，可以停止其连接和启动，最终还是要看中了远控后，是都留下后门，以及建立隐藏超级用户等等方面

• 远控核心代码
  

---

  到了核心代码，这时我们就要来了解下远控原理了。
远控运行原理是一种很简单的运行原理，分为控制端，被控端；被控端与控制端建立一个稳定的长期的连接通道，用于接收控制端发送给被控端的指令，被控端接收到指令后进行执行，或者是被控端向控制端传输控制者想要的数据，以来达到控制者的意图。
在上面的前提上，远控程序需要一定的隐蔽性，一定的权限，以及长期在线的功能，其余，远控在原理上大同小异，不同的是不同的远控在能实现控制者意图的功能上的区别。

详细：https://www.freebuf.com/articles/system/166876.html

这个核心的代码也沿用了RServ.exe中00411B90函数的方法，进行使用一些API函数

获得本机IP，访问的网站ip:223.82.248.117

浏览器访问回显

与目标服务器进行建立连接 ,目标服务器ip：223.82.248.117

emmm 由于这个远控的功能挺全衍生的大量的函数，足足有2000多个····

不过作者为了方便自己编写，使用了大量的中文字符，所以我们也很容易通过字符，找到其功能操作的地方，我也就不上太多实现功能的函数图了，函数太长，就上一些分析出了字符串展现一些它所拥有的功能






好好学习，天天向上，如有错，望指正，谢谢！！

hjm666

迷失的废墟 发表于 2019-12-25 09:57
请问这个代码是用什么工具查看的吗？怎么把源代码搞出来的呀？
还有上面第一个静态分析的蓝色界面的是什么 ...

吾爱有新手扫盲贴，建议去病毒分析区看看

hjm666

startkitty 发表于 2019-8-1 18:01
看函数是用IDA 的MSDN Annotations插件吗

目前还没专门去下过ida的插件，用的是吾爱工具包集成的

jay20070223

厉害啊我的哥

筱传说

大佬大佬，学习了！

不依baya

大佬高手，

茉莉玫瑰

厉害了，虽说我看都看不懂，但是感觉很厉害的样子！

lep52

高手，学习一下

全能玩

谢谢大佬的分析 ，感触颇深

全能玩

那个帮助文档其实可以直接当dll调用运行的，

hjm666

全能玩 发表于 2019-8-1 17:47
那个帮助文档其实可以直接当dll调用运行的，

我造啊，那个太大，不爽，就没用