吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2907|回复: 20
上一主题 下一主题
收起左侧

[PC样本分析] 多重样本释放——远控键盘记录器

  [复制链接]
跳转到指定楼层
楼主
老坚果 发表于 2024-6-3 15:41 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 老坚果 于 2024-6-11 19:34 编辑

基本信息

​        报告更新日期:2024/5/24
​        样本发现日期:2024/5/13
​        样本类型:下载器+加载器+远控
​        样本文件大小:33,214,784
​        样本文件MD5 校验值:de38470e9ccb7302dac8f84b5a941b77
​        样本文件SHA1 校验值:981731432296b773b3936a274aa8bdbcaf141298
​        可能受到威胁的系统:Windows 7/10
​               

简介

[713527.exe]是一个网络下载器,通过下载远控程序,对被攻击的机器进行长期的控制

被感染系统及网络症状

感染后,界面操作会出现轻微卡顿。在样本执行时,会产生HTTP的下载数据,且攻击成功后将长期发送加密后的tcp数据。

文件系统变化

将在C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache\ 路径下创建或修改文件Content.IE5IE

将在用户的Application Data目录下创建MyData目录

网络症状

与IP123.99.200.160有密切的联系。

功能介绍

该恶意样本执行后,会远程下载一个加载器;加载器再通过创建一个托管运行平台,执行最终释放的远控程序。具体分析如下:

71357.exe

样本摘要 SHA1:981731432296b773b3936a274aa8bdbcaf141298

该可疑样本1 被运行后,会进行如下操作:

  1. 使用延时功能延迟动态分析的进度

    image-20240522104455385

  2. 在IP123.99.200.160  的5172 端口下对名为1600.bin的可疑文件2进行下载操作:

    image-20240522111506893      

  3. 将下载的文件直接放入内存,可疑样本1 进行第一次解密后调用1600.bin文件首字节,执行被下载的可疑文件1600.bin

    image-20240522140955230

  4. 解密完成后,调用首字节执行可疑文件2 1600.bin

    image-20240522141132314

1600.bin

样本摘要 SHA1:a7ad868f0d37b1ba10cfb508c426166972f694e6

到这里71357.exe作为下载器的工作基本结束。接下是1600.bin文件的工作:

  1. 可疑样本2 在执行过程中对自身再次解密,后从动态导入四个.dll文件
    image-20240522145221176

  2. 导入函数,并将导入的函数地址存入以下红框内,创建代码执行环境。
    image-20240522152828990

  3. 创建一个CLR代码托管执行环境,并在环境中通过安全数组释放一个.net可执行文件进行托管。

    image-20240522153617856

  4. 将安全数组及数组中的数据一起销毁,防止释放的样本泄露

    image-20240522154129249

.net可执行文件

样本摘要 SHA1:64f73a8d13c1ad1584e3c10e8598b900cbc74efd

  1. 在当前用户的应用数据文件夹下创建一个名为 "MyData" 的目录,并在这个目录下创建键盘勾取的管理配置文件及输出文件。创建配置文件后,对网络进行加密配置。

    image-20240523104927619

  2. 对自身信息进行解密初始化,在解密前将密钥通过解码字符串VenomRATByVenom派生出解密的密钥。通过动态调试解析密钥后可以解密出一些关键信息,例如远控数据进行交互的端口为4449 ,IP没有发生变更,以及疑似远控进程的名字Ebx RAT 远控 v10.1.0

    image-20240523145900117image-20240523150049689  

  3. 尝试删除注册表项Software\\BABCE2290AAAFDF60775后,对机器进行探测是否支持Windows 32系统进程以及检测是否为虚拟机,

    image-20240523160258727  

  4. 通过对amsi.dll打补丁的方式,企图绕过后期检查时的病毒扫描探测,并创建进程互斥锁,保证同时运行一个进程。

    image-20240523160650630

  5. 利用多线程来控制恶意文件的启停,当系统内存中出现样本分析工具相关的字段时,线程控制恶意进程关闭;样本分析进程关闭时,则启动恶意样本进程。
    image-20240523161710190

  6. 如果执行权限为管理员,将在关机操作时,将自身标记为关键进程,保证其后续运行。

    image-20240523162840275  

  7. 将杀死cvtres进程,伪装自身,并长期将键鼠勾取的数据发送给123.99.200.160:4449

    image-20240523171107225  ****

相关服务器信息分析

该样本与IP123.99.200.160有密切关系,但不排除该IP为跳板IP的可能性。

预防及修复措施

可通过及时更新病毒扫描库进行预防;若已感染,建议重做系统

免费评分

参与人数 11吾爱币 +10 热心值 +9 收起 理由
thehotday + 1 我很赞同!
Bart555 + 1 + 1 热心回复!
soyiC + 1 + 1 用心讨论,共获提升!
yyr520 + 1 用心讨论,共获提升!
fengbolee + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
allspark + 1 + 1 用心讨论,共获提升!
抱歉、 + 1 用心讨论,共获提升!
Liebesfreud + 1 + 1 用心讨论,共获提升!
yumic114 + 1 我很赞同!
WvRt + 1 + 1 热心回复!
我的爱是你 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
MyAxiang 发表于 2024-6-14 16:00
文件系统变化
将在C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache\ 路径下创建或修改文件Content.IE5、IE

将在用户的Application Data目录下创建MyData目录

C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache\  目录下有Content.IE5(需要右键管理员取得所有权才能打开)、IE

C:\Users\Administrator\Application Data(需要右键管理员取得所有权才能打开) 目录下没有MyData目录

我这是不是中毒了?
沙发
alongzhenggang 发表于 2024-6-6 19:15
3#
Liebesfreud 发表于 2024-6-7 09:32
4#
Hmily 发表于 2024-6-7 12:03
标题建议需改一下,感觉写成样本行为描述相关的信息更好一些。
5#
你好,再见 发表于 2024-6-7 12:32
学习一下
6#
liqilindiyi 发表于 2024-6-8 22:48
厉害,学习了
7#
bulesoft 发表于 2024-6-9 07:09
谢谢楼主分享!
8#
starryskyhello 发表于 2024-6-9 07:55
写的真好,学到了
9#
amwquhwqas128 发表于 2024-6-9 20:31
标题改成 样本行为描述相关的信息 ,作者应该这么起标题,让我们更好的明白文章内容描述
10#
dengyy 发表于 2024-6-9 23:15
厉害,感谢
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-6-25 03:03

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表