[原创]浅析:网友说的过火绒的远控到底是何方神圣?_CatGames

2019-5-25 00:43 10001

[原创]浅析:网友说的过火绒的远控到底是何方神圣?_CatGames

UzJu

2019-5-25 00:43

10001

【文件名称】：DNF5天号解封教程.exe

【HA256】：3504ec84a6efb00010064e3abb1d0ae5e38883ce0abbd7c1ad7245eeb3a05bcd

【运行环境】：win7

【远控服务器】：腾讯云——132.232.36.190

【使用工具】：OD WINHEX PEID EXEINFO Malware Defender

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

今日有网友在群里诶特我说有个远控可以过火绒火绒查不出来索性就下载来看看

0x00
上手先查壳然后发现没壳（听说过火绒？？？？）

我寻思第一眼看上去没啥子区别呀

DNF5天号解封教程.exe 样本行为

键盘记录

写入文件 C:\Users\ADMINI~1\AppData\Local\Temp\\csrss.exe

通过对这个主程序的分析主要敏感的行为还是只有这一个文件写入的动作所以我把目光放在了csrss.exe这个被写入的文件

Csrss.exe分析

可以看到作者把他伪装成了一个360安全卫士的隔离区模块

但是具体真是这样吗？

查壳后发现是UPX的（咋干坏事都用UPX呢？）

UPX脱壳方法就不说了上脱壳机就完事了

GOGOGO GKD!

0x01

Csrss.exe样本行为

获取系统信息

设置数据跟踪

创建服务并写入Bat

但是发现了一点问题这本是一个批处理但是怎么会有DOS头？？？？还有区段？？？？

接着看

创建服务

然后接着程序自动退出！！！

并且删除自身

0x02

Shennong.bat行为分析

当时我看到这个东西的时候我人都傻了我读书少别骗我 Bat文件有Dos头？？？？

这是我自己弄的一个exe

改成Bat之后一样可以查到编译器等信息

这是一个真Bat

那么具体就看看这个到底做了什么吧！！！

创建服务

跟那个exe是同样的操作

通过抓包知道了这玩意是远控

真就是得不到就远控呗

创建服务就是为了持久性控制受害者电脑呗

这个Bat反正用户关掉就自动重启关掉就自动重启持久性的控制

比起远控我更好奇沙雕网友说的火绒不检测

运行流程

0x03

杀软免杀测试,毕竟实践出真知！

为了模拟最真实的测试情况，直接运行程序和扫描样本不提取等操作

1. 腾讯电脑管家

指定扫描

直接运行

2.360安全卫士

指定位置扫描

直接运行

3.重头戏火绒安全卫士

指定位置扫描

直接运行

这...沙雕网友。。

后记—00x00x00x00

这个远控告诉我们，泡妞别光等，别光买礼物，买完礼物表白失败也不要紧，得不到就远控！

CatGames的小窝
GLHF!

感谢：LoneMonster指点
感谢：眠call倚无暇的表情包

推荐一下弟弟写的自闭脚本

学这个shell脚本也就学了半天这玩意也就写了半天渗透大佬看看就好

拥有一键自动化攻击一键设置永恒之蓝一键设置漏洞扫描一键设置监听一键设置Payload 一键Nmap扫描等......

GitHub链接：https://github.com/CatGamesGa0/CatGamesAuToExP

演示视频

YouTube：https://www.youtube.com/watch?v=Ii4mQrLxQO4

哔哩哔哩：https://www.bilibili.com/video/av53410445

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2019-5-25 00:54 被UzJu编辑，原因：

#病毒木马

上传的附件：

样本.rar （437.96kb，50次下载）

收藏・18

点赞・15

打赏

最新回复 (24)
冰雪冬樱雪币： 155 活跃值： (74) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 287 粉丝 1 关注私信	冰雪冬樱 2019-5-25 00:50 2 楼 0 一般般
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-25 00:51 3 楼 0 冰雪冬樱一般般你是住在看雪吧我的天快把你雪B和点赞给我交咯
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-25 00:51 4 楼 0 弟弟睡觉了记得把你的雪B和点赞给我交了
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 94 关注私信	blindtiger 1 2019-5-25 00:55 5 楼 0 来自大表哥的警告 -> 牢饭真香
黑洛雪币： 6124 活跃值： (4121) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 582 粉丝 68 关注私信	黑洛 1 2019-5-25 01:10 6 楼 0 远控？哦那没指标就找他凑咯？
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-25 01:24 7 楼 0 黑洛远控？哦那没指标就找他凑咯？？
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-25 01:25 8 楼 0 黑洛远控？哦那没指标就找他凑咯？看样本8 没什么好说的
如斯咩咩咩雪币： 4709 活跃值： (1549) 能力值： ( LV2，RANK：15 ) 在线值：发帖 -2 回帖 165 粉丝 7 关注私信	如斯咩咩咩 2019-5-25 02:36 9 楼 0 我把雪币给您交了
hzqst 雪币： 12839 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 540 关注私信	hzqst 3 2019-5-25 06:54 10 楼 0 一键点赞素质三连
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 17 关注私信	Lixinist 1 2019-5-25 08:34 11 楼 0 有样本就好，可以拿来学习
Maccha 雪币： 961 活跃值： (224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 149 粉丝 0 关注私信	Maccha 2019-5-25 11:34 12 楼 0 我把雪币给您交了
icesnowwise 雪币： 2095 活跃值： (344) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 83 粉丝 0 关注私信	icesnowwise 2019-5-25 11:43 13 楼 0 0708那个能用，还是说是只能针对xp 和03 那个？
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-25 14:15 14 楼 0 icesnowwise 0708那个能用，还是说是只能针对xp 和03 那个？试试吧我反正win7没成功不知道为啥
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-25 14:16 15 楼 0 Maccha 我把雪币给您交了谢谢大哥
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-25 14:16 16 楼 0 hzqst 一键点赞素质三连谢谢大哥
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-25 14:16 17 楼 0 如斯咩咩咩我把雪币给您交了谢谢大哥
MsScotch 雪币： 2981 活跃值： (1403) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 339 粉丝 2 关注私信	MsScotch 2019-5-27 09:49 18 楼 0 建议报告前面加上一个清晰的流程图，现在这样的报告没法看。
liguojin 雪币： 427 活跃值： (182) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	liguojin 2019-5-27 11:07 19 楼 0 【】】】最后于 2019-5-27 11:07 被liguojin编辑，原因：
Rookietp 雪币： 1042 活跃值： (455) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 803 粉丝 2 关注私信	Rookietp 2019-5-27 12:53 20 楼 0 易语言的吧。不讲道理直接报毒就是对的最后于 2019-5-27 12:53 被Rookietp编辑，原因：
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-27 15:06 21 楼 0 MsScotch 建议报告前面加上一个清晰的流程图，现在这样的报告没法看。具体流程图指的是病毒运行流程图还是类似目录那种
MsScotch 雪币： 2981 活跃值： (1403) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 339 粉丝 2 关注私信	MsScotch 2019-5-27 19:37 22 楼 0 CatGames 具体流程图指的是病毒运行流程图还是类似目录那种流线图示，这个病毒式什么，运作方式是怎样的，怎样建立可控IOC等
木Y 雪币： 33 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	木Y 2019-5-29 18:27 23 楼 0
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

UzJu

发帖

402

回帖

580

RANK

关注

私信

他的文章

Windows11 LogonUI.exe 系统在应用程序中检测到基于堆栈都缓冲区溢出，溢出允许恶意用户获得此应用程序都控制。

[分享]AC-baidu油猴(Tampermonkey)谷歌搜索黑色模式有白色块解决办法

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
冰雪冬樱雪币： 155 活跃值： (74) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 287 粉丝 1 关注私信	冰雪冬樱 2019-5-25 00:50 2 楼 0 一般般
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-25 00:51 3 楼 0 冰雪冬樱一般般你是住在看雪吧我的天快把你雪B和点赞给我交咯
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-25 00:51 4 楼 0 弟弟睡觉了记得把你的雪B和点赞给我交了
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 94 关注私信	blindtiger 1 2019-5-25 00:55 5 楼 0 来自大表哥的警告 -> 牢饭真香
黑洛雪币： 6124 活跃值： (4121) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 582 粉丝 68 关注私信	黑洛 1 2019-5-25 01:10 6 楼 0 远控？哦那没指标就找他凑咯？
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-25 01:24 7 楼 0 黑洛远控？哦那没指标就找他凑咯？？
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-25 01:25 8 楼 0 黑洛远控？哦那没指标就找他凑咯？看样本8 没什么好说的
如斯咩咩咩雪币： 4709 活跃值： (1549) 能力值： ( LV2，RANK：15 ) 在线值：发帖 -2 回帖 165 粉丝 7 关注私信	如斯咩咩咩 2019-5-25 02:36 9 楼 0 我把雪币给您交了
hzqst 雪币： 12839 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 540 关注私信	hzqst 3 2019-5-25 06:54 10 楼 0 一键点赞素质三连
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 17 关注私信	Lixinist 1 2019-5-25 08:34 11 楼 0 有样本就好，可以拿来学习
Maccha 雪币： 961 活跃值： (224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 149 粉丝 0 关注私信	Maccha 2019-5-25 11:34 12 楼 0 我把雪币给您交了
icesnowwise 雪币： 2095 活跃值： (344) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 83 粉丝 0 关注私信	icesnowwise 2019-5-25 11:43 13 楼 0 0708那个能用，还是说是只能针对xp 和03 那个？
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-25 14:15 14 楼 0 icesnowwise 0708那个能用，还是说是只能针对xp 和03 那个？试试吧我反正win7没成功不知道为啥
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-25 14:16 15 楼 0 Maccha 我把雪币给您交了谢谢大哥
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-25 14:16 16 楼 0 hzqst 一键点赞素质三连谢谢大哥
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-25 14:16 17 楼 0 如斯咩咩咩我把雪币给您交了谢谢大哥
MsScotch 雪币： 2981 活跃值： (1403) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 339 粉丝 2 关注私信	MsScotch 2019-5-27 09:49 18 楼 0 建议报告前面加上一个清晰的流程图，现在这样的报告没法看。
liguojin 雪币： 427 活跃值： (182) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	liguojin 2019-5-27 11:07 19 楼 0 【】】】最后于 2019-5-27 11:07 被liguojin编辑，原因：
Rookietp 雪币： 1042 活跃值： (455) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 803 粉丝 2 关注私信	Rookietp 2019-5-27 12:53 20 楼 0 易语言的吧。不讲道理直接报毒就是对的最后于 2019-5-27 12:53 被Rookietp编辑，原因：
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 48 回帖 402 粉丝 110 关注私信	UzJu 8 2019-5-27 15:06 21 楼 0 MsScotch 建议报告前面加上一个清晰的流程图，现在这样的报告没法看。具体流程图指的是病毒运行流程图还是类似目录那种
MsScotch 雪币： 2981 活跃值： (1403) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 339 粉丝 2 关注私信	MsScotch 2019-5-27 19:37 22 楼 0 CatGames 具体流程图指的是病毒运行流程图还是类似目录那种流线图示，这个病毒式什么，运作方式是怎样的，怎样建立可控IOC等
木Y 雪币： 33 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	木Y 2019-5-29 18:27 23 楼 0
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

[原创]浅析:网友说的过火绒的远控到底是何方神圣?_CatGames

0x00 上手先查壳然后发现没壳（听说过火绒？？？？）

0x01

0x02

0x03

后记—00x00x00x00

这个远控告诉我们，泡妞别光等，别光买礼物，买完礼物表白失败也不要紧，得不到就远控！

CatGames的小窝GLHF!

感谢：LoneMonster指点感谢：眠call倚无暇的表情包

推荐一下弟弟写的自闭脚本

0x00
上手先查壳然后发现没壳（听说过火绒？？？？）

CatGames的小窝
GLHF!

感谢：LoneMonster指点
感谢：眠call倚无暇的表情包