Crimson是一款远控木马，可远程控制感染设备并窃取数据。巴基斯坦黑客团伙曾使用该远控窃取印度军事目标的敏感信息。

MD5：f940e886a40783deb4e97fe6d842da7a

文件类型：Microsoft Excel工作表

Excel文件截图

VT查杀分数：35/62

用OLETools工具查看Excel文件属性：

cmd > olemeta.py <file name>

用OLETool命令查看OLE详细信息：

cmd > olevba.py -a <filename>

可疑点

从Excel文件中提取VBA代码，并保存至文本文件。使用的命令是：

cmd> olevba.py --deobf <filename> > Path\output.exe

从VBA代码中可以看出子程序创建了一个文件夹并且生成了文件C:\ProgramData\Rlmdias\Rlmdias.exe：

打开Excel文件，按Alt+F11打开VBAProject，但发现受密码保护。用这个GitHub代码移除密码，过程可以参考我之前写的一篇博文。移除密码之后，看到userForm1，包含两个文本框和适配感染系统版本（32位或64位）生成的PE文件的16进制值：

在调试的过程中发现，VBA代码会生成一个压缩文件“C:\ProgramData\Rlmdias\drngervia.zip”，并调用unSadozip解压：

压缩文件中包含drngervia.exe，解压后通过shell命令执行：

当shell命令执行时，会打开Windows Features窗口，询问下载安装.Net Framework 3.5：

由于必需的依赖关系，我安装了上述.Net Framework。

生成的文件：

MD5：10F955EF9F398E91CA9AE4F34CECD873

文件类型：Win32 EXE

文件名：drngervia.exe

签名：Microsoft Visual C# v7.0 / Basic .NET

家族：Crimon，亦称为SEEDOOR和Scarimson

类型：木马

VT查杀分数：47/72

用dnSpy调试PE文件。审查代码发现，该木马通过修改注册表开机启动，保证持续性感染：

获取系统正在运行的进程列表：

获取正在运行的进程列表

木马会检查运行的杀毒软件，列表如下：

经过在代码层面的分析，该远控木马具备以下功能：

drngervia.exe在运行后会与C2服务器建立通信，C2服务器的IP和端口是硬编码在代码里的。IP是十进制格式。然而C2服务器并没有响应。

我也发现了其他硬编码的IP地址和用户名，但是没观察到木马与IP 124.115.201.118通信：

木马行为：

执行流程：

样本下载地址：f940e886a40783deb4e97fe6d842da7a

参考资料：Any.Run

原文链接：https://malwr-analysis.com/2020/07/24/crimson-rat-malware-analysis/

翻译：看雪翻译小组 SpearMint

校对：看雪翻译小组 Nxe

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！