首页
社区
课程
招聘
[翻译]Crimson远控木马分析
发表于: 2020-8-19 08:59 25213

[翻译]Crimson远控木马分析

2020-8-19 08:59
25213

Crimson是一款远控木马,可远程控制感染设备并窃取数据。巴基斯坦黑客团伙曾使用该远控窃取印度军事目标的敏感信息。

MD5:f940e886a40783deb4e97fe6d842da7a

文件类型:Microsoft Excel工作表
Excel文件截图

Excel文件截图

VT查杀分数:35/62
VT查杀分数

用OLETools工具查看Excel文件属性:
Excel文件属性

cmd > olemeta.py <file name>

用OLETool命令查看OLE详细信息:
OLE详细信息

cmd > olevba.py -a <filename>

可疑点

从Excel文件中提取VBA代码,并保存至文本文件。使用的命令是:

cmd> olevba.py --deobf <filename> > Path\output.exe

从VBA代码中可以看出子程序创建了一个文件夹并且生成了文件C:\ProgramData\Rlmdias\Rlmdias.exe:
VBA代码

打开Excel文件,按Alt+F11打开VBAProject,但发现受密码保护。用这个GitHub代码移除密码,过程可以参考我之前写的一篇博文。移除密码之后,看到userForm1,包含两个文本框和适配感染系统版本(32位或64位)生成的PE文件的16进制值:
VBAProject

在调试的过程中发现,VBA代码会生成一个压缩文件“C:\ProgramData\Rlmdias\drngervia.zip”,并调用unSadozip解压:
unSadozip

Locals

压缩文件中包含drngervia.exe,解压后通过shell命令执行:
Shell命令

当shell命令执行时,会打开Windows Features窗口,询问下载安装.Net Framework 3.5:
Windows Features窗口

由于必需的依赖关系,我安装了上述.Net Framework。

生成的文件:

MD5:10F955EF9F398E91CA9AE4F34CECD873

文件类型:Win32 EXE

文件名:drngervia.exe

签名:Microsoft Visual C# v7.0 / Basic .NET

家族:Crimon,亦称为SEEDOORScarimson

类型:木马

VT查杀分数:47/72
VT查杀分数

用dnSpy调试PE文件。审查代码发现,该木马通过修改注册表开机启动,保证持续性感染:
修改注册表

获取系统正在运行的进程列表:
获取正在运行进程

获取正在运行的进程列表

木马会检查运行的杀毒软件,列表如下:

杀毒软件列表

经过在代码层面的分析,该远控木马具备以下功能:

drngervia.exe在运行后会与C2服务器建立通信,C2服务器的IP和端口是硬编码在代码里的。IP是十进制格式。然而C2服务器并没有响应。

我也发现了其他硬编码的IP地址和用户名,但是没观察到木马与IP 124.115.201.118通信:
硬编码地址和用户名

木马行为:

执行流程:
执行流程

样本下载地址:f940e886a40783deb4e97fe6d842da7a

参考资料:Any.Run

原文链接:https://malwr-analysis.com/2020/07/24/crimson-rat-malware-analysis/

翻译:看雪翻译小组 SpearMint

校对:看雪翻译小组 Nxe

 
 
 
 
 
 
 
 
 
 
 
 
 

[注意]APP应用上架合规检测服务,协助应用顺利上架!

最后于 2020-8-24 17:03 被SpearMint编辑 ,原因:
收藏
免费 3
支持
分享
最新回复 (1)
雪    币: 71
活跃值: (34)
能力值: (RANK:0 )
在线值:
发帖
回帖
粉丝
2
收远控源码。靠谱的大佬来谈。QQ 3103733694
2021-4-19 12:48
0
游客
登录 | 注册 方可回帖
返回
//