疑似与高校关联的远控程序分析

2024年 1月 10日 34.4k 0

事件概述

本次山石情报中心通过智源平台大数据捕获到了疑似与上海某高校安全事件相关的病毒样本,该样本基于.Net平台进行编写,使用多重loader以及多种检测手法规避安全检测。

详细分析

该程序的核心代码将会以反射加载的方式被调用,其中对于核心代码模块的数据,程序使用了异或算法进行加密,加密伪代码如下:

解密之后可以看到核心代码模块使用SmartAssembly对代码进行的混淆。

核心模组中再次加载模块,获取“EkNMG”资源。

该资源块同样为加密数据,使用aes算法加密

IV:1C771ADB1A081DC00E7587D890053D03

KEY:98A7367C6260014E88CA40EBE48E4D5BA713E7F53996FF3DB7AFC9671A19B863

将后续需要使用的数据写入应用程序域属性“jnlCmbqMDCWe”,以供后续执行

规避检测

对进程名称进行检测,排除部分.Net脱壳的软件。

释放所有网络适配器的连接,使目标设备网络中断。

创建互斥量“Ycztsixdmyy”

检测到程序存在调试行为,则通过cmd重新启动进程,并退出当前进程。

检测当前路径是否在“C:windows”

检测程序执行权限是否为管理员。

将自身路径和进程名列入windows defender的排除项,规避windows defender的查杀。

检测到存在异常环境时,通过cmd重新运行程序文件,并退出当前进程。

执行功能

使用模块protobuf-net对数据进行序列化。

获取%TEMP%目录下的临时路径,向该路径写入数据并进行调用。

将自身进程句柄复制到explorer,以达到占用进程文件的效果。

在规避检测的行为完成后,刷新网络适配器连接。

检测环境语言是否存在列表中,如果存在,则退出程序,

对设备进行截屏,并进行保存

发送设备信息、截图等数据到远端服务器

持久化

通过三种方式:

  • Startup启动文件夹
  • 注册表项
  • "SoftwareMicrosoftWindowsCurrentVersionRun"

使用以下指令创建计划任务

IOC

MD5:

323ac3a13a3ab29af25d81be4736727f

CC:

89.208.107.12
kizivarain.com

参考链接:https://mp.weixin.qq.com/s/d1hfh4YKXzQOh6WpwQMBLw

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论