申请会员ID:威胁情报xiao'wu

1. 申请会员ID：威胁情报小屋
2  个人邮箱：mortalboold@outlook.com


病毒分析快速入门系列（二）实战XRAT之动态行为

概述
小c忙活半天，总算把环境配好。
前期准备完成，便可以着手进行样本分析了。
样本可从app.any.run获取，使用邮箱免费注册后，便可以下载该沙箱的公开样本
小c随便在该沙箱选择了一个样本，下载，准备开搞

动态行为在样本分析的过程中，首先通过虚拟机，沙箱等运行样本，看样本执行什么样的行为，再根据其行为去分析样本中代码，这样的方式有助于加快分析速度。本地虚拟机运行首先通过第一节搭建的分析环境运行样本(最好将虚拟机设置位断网状态)，对于此类32位的样本，推荐使用SysTracer进行行为抓取。运行该程序，选择文件-》创建并跟踪信进程-》选择样本确定 运行后效果如图 可明显看到该样本在C:\Windows\System32\dllcheck 目录下创建了一个dllcheck.exe 再看看进程相关的行为 样本共创建了三个新进程，其中一个是把释放的dllcheck.exe执行起来，其余两个进程均以schtasks开始，小c作为第一次分析样本的小白，不懂啥这是啥意思，便想起大佬说的，遇事不懂，先问度娘 通过搜索引擎可知，该命令可将任何脚本、程序或文档设置在任何时间自动执行起来，恶意代码常通过此命令将自身设置到某个时间段运行，以达到在受害者计算机持久化运行的目的。在运行框（windows+r）入taskschd.msc，打开任务计划面板查看一下样本是否创建了计划了计划任务 通过面板可看到名为“COM Surrogate”的计划任务，在有任何用户登陆时，将会执行样释放的dllcheck.exe,与抓到行为命令一致。
通过本地沙箱，可看到样本以下信息1.   在C:\Windows\System32\dllcheck目录下释放dllcheck.exe2.    将释放的dllcheck.exe设置为计划任务，实现持久性
外部沙箱运行 这次选用微步在线沙箱（https://s.threatbook.cn/）运行样本试一下（在以后正式的工作中，最好别将公司安排分析的样本传到外部沙箱。） 通过微步云沙箱，可以直观的看到样本执行流程 再看看沙箱中详细的进程列表 可见其进程行为与本地虚拟机基本一致，但其比本地虚拟机多了网络行为 同时小c发现微步沙箱和anyrun沙箱均有一个QuasarRAT的标签。 再次通过度娘得知，QuasarRAT是远控木马的名称 总结
通过本地虚拟机，外部沙箱监控到样本相关行为，现在可得出该木马相关信息如下

文件名	Client-built.exe
Md5	d059a264af31c72def4f1ae47898e422
样本家族	QuasarRAT
释放文件	C:\Windows\System32\dllcheck\dllcheck.exe
创建进程	Dllcheck.exe, schtasks.exe
持久化	创建计划任务在有用户登陆的情况下执行dllcheck.exe
网络行为	ip-api.com         collinserver.ddns.net

其他系列文章地址：
病毒分析快速入门（一）--环境搭建
https://mp.weixin.qq.com/s/LLpu-yINg_nCBZ-h-YW_BQ病毒分析快速入门（三）-实战QuasarRAT之详细分析01
https://mp.weixin.qq.com/s/ncAzEpntwP5-9sHWGvcUrA
病毒分析快速入门（三）-实战QuasarRAT之详细分析02
https://mp.weixin.qq.com/s/fcUb1VSMXUjy2s_7TxL69w

Hmily

抱歉，未能达到申请要求，申请不通过，可以关注论坛官方微信（吾爱破解论坛），等待开放注册通知。

ps：申请够随意的，标题名字和主题名字都不样。