avatar

目录
利用系统文件执行的远控

利用系统文件执行的远控

基本信息

File Name File Size File Type MD5
Quotation_Order.exe 304,128 Byte Rat e10bc1816979208bb89bf14ae2281174

简介

样本是一个.exe文件,运行后会将自己拷贝到%APPDATA%目录下并设置为隐藏属性

详细分析

查壳

无壳,.NET编写,那直接用dnspy,载入dnspy后,代码也没有混淆

寻找恶意代码

样本Main函数,全都是无用代码,直接跳过

往下看,可以发现一个很奇怪的方法名“x1”,很可疑,前面全都是无用代码,这里再往后程序差不多该结束了,这个奇怪的方法,很有可能是恶意代码,跟着看看

读取资源

可以看见x1()中调用了vanilla(),而vanilla()中有一个读取资源的操作

读取的资源LAN_Core2,可以在名为WindowsFormsApp6.Properties的命名空间下找到

既然这里读取资源,我们就在返回的地方下断,看他读取的内容,在监视窗口可以看见,读取的是一个以4D5A开头的PE文件

在监视窗口,将这个PE文件保存出来可以得到一个dll

执行新的代码

读取完资源后,运行dll中名为“f20”的方法,执行新的代码

其中给“f20”传入了一个参数 Class.MyProperty,资源中的一张图片

dll中“f20”对传入参数进行一系列解密操作,得到新的代码并执行

直接在执行的代码处下断,监视窗口再得到一个PE文件

还是将它dump出来,得到一个.NET编写的exe文件,放进dnspy,发现代码全都被混淆了

用De4dot解一下混淆后重新放入De4dot,直接运行,断在主函数

互斥量

main函数先获取自身路径,然后检查互斥量”FqYEpg”

拷贝文件并修改属性

先取得%APPDATA%的路径,然后拼接上自己的程序名TWwtveQQKSDeTV.exe,并判断文件是否存在,如果不存在就将自身拷贝到”C:\Users\sam\AppData\Roaming\TWwtveQQKSDeTV.exe”

然后修改文件属性,修改为只读、隐藏、系统文件,且不能通过系统自带搜索到这个文件,修改ACL访问控制,使当前用户对这个文件只有读和执行的权限,不能对其进行删除、写入、修改文件属性等操作

开机自启

获取计算机名称及用户名,获取系统temp目录,并将解密出来的一段xml代码写入到%temp%下的文件中

然后调用schtasks.exe,拼接出命令行 /Create /TN “Updates\TWwtveQQKSDeTV” /XML “C:\Users\sam\AppData\Local\Temp\tmp44B0.tmp

利用schtasks.exe创建计划任务,实现开机自启,等待执行完成后,再删除刚才创建的.tmp文件

创建傀儡进程

取得系统的MSBuild.exe的路径

创建一个被挂起的MSBuild.exe,然后用创建傀儡进程的方法,掏空进程,将自己的代码注入MSBuild.exe,利用MSBuild.exe执行自己的恶意代码

给挂起的MSBuild.exe,显示为灰色

获取上下文,掏空内存,申请内存,向申请的内存写入代码,完成后恢复进程运行恶意代码

在写内存的地方下断,然后从监视窗口,将写的内容DUMP出来,得到了一个PE文件

放进dnspy,PE文件名为 NanoCore Client,是一款很出名的远控软件

样本溯源

File Name MD5
Quotation_Order.exe E10BC1816979208BB89BF14AE2281174
1.dll A5184BB807691E2446B8C734A0CF4A88
2.exe 16D05B732A697D4A983C51FF0F79D865
3.exe A48BE31C4DE222BE6FDC25B8BE7A5727
C2 91.189.180.193:6420
MUTEX FqYEpg
文章作者: Yenn_
文章链接: https://0xdf1001f.github.io/2020/03/20/%E5%88%A9%E7%94%A8%E7%B3%BB%E7%BB%9F%E6%96%87%E4%BB%B6%E6%89%A7%E8%A1%8C%E7%9A%84%E8%BF%9C%E6%8E%A7/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Wei's Blog

评论