本帖最后由 Assassin_ 于 2019-6-24 09:44 编辑
适合新手分析的样本 NANOCORE .net
0x01 前言
听从Hmily大佬的意见,改正之后的版本。
为了熟悉论坛MD版本,改了好几遍,才算是比较好看一点,抱歉
该样本为.net样本,由于本人对该语言样本分析较少,所以可能有地方存在错误,还请各位指正,私信或者评论都可以{:1_893:}
样本本身比较简单,所以适合我们这样的新手练手,个人还是比较推荐的
0x02 样本信息
样本为压缩包,解压之后为exe程序
采用C#编写
0x03 调试环境与工具
WIN7 64、dnspy
0x04 样本分析
4.1 解密PE,并运行
对其进行调试,异或解密
Base64解码
得到另一个PE文件
该PE比较简单,对资源进行解密,并通过线程运行
解密算法
解密资源依旧为一个PE文件,该PE加壳,采用代码乱序和混淆,脱壳之后,逻辑还是比较清晰的
因为代码比较清晰,所以把可以分析的都说一下
首先获取"CdoWOnwWzidv"和"vrONsPaWCyia"资源文件,对其进行解密并加载,解密算法与之前一致
4.2 检测虚拟机
检测虚拟机等
4.3 关闭防火墙,保证权限
检测是否存在%userprofile%\NUUSER目录,存在则检测是否为管理员权限,如果满足cmd直接运行
否则先利用注册表关闭防火墙
然后通过PowerShell获取Windows Defender扫描和更新的首选项,并对其进行配置,将结果写入%userprofile%\NUUSER文件
4.4 选择载荷的运行方式
获取资源名"RBaqnfSVWpZS"资源(该处没有找到该资源)
可以通过RegAsm运行起来
或者将资源写入%userprofile%\#bindname#.exe,并通过直接创建进程使其运行
4.5 拷贝自身,并清理环境
拷贝该文件到%APPDATA%\filename.exe,并删除zone.identifier文件
4.6 自启动方式
根据a3的不同设置自启动方式
a3=Folder
base64解码vbs脚本,通过脚本运行
a="Registry"
通过注册表运行
a=task
通过计划任务运行
0x05 运行真正的木马程序
检测是否存在RegAsm.exe,程序的运行环境程序集,解密算法与之前一致,解密之后运行
查看解密之后的程序为nanocore 1.2.2.0 版本,谷歌之后发现这是一个成熟的RAT。
包含插件、文件、命令行、键盘记录等功能,功能比较全面。知识有限,就不再做分析了。
尾声
略
附件: 52pojie
sample.zip
(380.26 KB, 下载次数: 78)
| 
[复制链接]
发表于 2019-6-20 12:00
别笑话我喔,表示支持一下。
