大灰狼RAT样本分析 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770593

飞翔币: 207694

威望: 215657

飞扬币: 2511651

信誉值: 8

只看楼主更多操作 0 发表于: 2020-12-18

样本为远控客户端，样本联网下载大灰狼远控dll，其导出函数DllFuUpgradrs注册自启服务、连接服务端，接收服务端指令来控制用户系统。

样本执行流程

[1. ]()样本概况

[1.1 ]()样本信息

File：菲律宾确诊新型肺炎病毒.exeSize: 217088bytesMD5: 30C13ED8030DDA8A578E822B60E3B24FSHA1: A54F9C32425AD9FDBA48938418508BA54582EDE6CRC32: 1B8896E5

[1.2 ]()测试环境及工具

运行平台：Windows 7 X64系统监控工具：火绒剑调试工具：IDA Pro、OD

[2. 沙箱监控]()

打开N62.dll文件（解密该文件）

释放自身到系统目录并启动

写入的注册表键值

[3. ]()逆向分析

[3.1 ]()菲律宾确诊新型肺炎病毒.exe分析

PE文件基本信息

3.1.1 入口函数

检查当前系统版本配置分辨率。

判断系统版本

设置屏幕分辨率

3.1.2 payload的下载与解密

检查payload文件是否存在：

文件不存在，则下载N62.dll：

文件存在则读取N62.dll，检查标识是否一致

检查payload标识
动态调试下查看到payload打开位置：

读取C:Program FilesAppPathN62.dll
检查payload存在且标识正确后，解密N62.dll，并加载它，遍历导出表寻找到payload的需要的导出函数地址：DllFuUpgradrs

动态调试dump解密后的N62.dll，下图可以看到解密后的PE文件魔数”MZ”。

N62.dll解密完成

3.1.2.1 解密算法

解密函数
观察解密操作特征，得知加密算法为RC4算法，其为对称算法，通过简单的异或实现加解密。

RC4算法初始化函数

加解密函数

3.1.2.2 加载payload: N62.dll

通过读取PE文件关键字段：imagebase加载基址、sizeofimage加载在内存中的大小。根据基址和大小，在基址地址申请相应大小的空间，加载dll并修改内存属性为可执行。

3.1.2.3 获取并调用导出函数DllFuUpgradrs

解析导出表
实现手段：根据加载基址获取数据目录表，获取到数据表的第0项：导出表地址。遍历导出表得到需要的函数地址。

对比导出函数名称
简单验证地址非零后，样本直接调用DllFuUpgradrs函数，参数为一段密文与密钥。

调用DllFuUpgradrs([密文],[key])

N62.dll 导出表

DllFuUpgradrs地址

[3.2 payload-N62.dll]()

Dump得到N62.dll，文件被加壳（upx壳）。

N62.dll文件信息

N62.dll脱壳后信息

3.2.1 导出函数DllFuUpgradrs

动态调试查看函数调用时的寄存器、堆栈与内存信息：

DllFuUpgradrs调用
函数DllFuUpgradrs行为基本描述：（1）传入参数分别为密文和密钥（2）解密密文，将得到的明文赋值给各个全局变量（3）明文内容包括服务器信息，各类设置的参数（4）复制自身到系统目录运行，并设置开机自启（5）创建多个注册表键值（6）连接服务端，并创建线程接收处理服务端指令（7）主要远控功能包括：文件管理、屏幕监视、摄像头记录、音频记录、键盘记录、远程shell、系统管理。