Crimson是一款远控木马,可远程控制感染设备并窃取数据。巴基斯坦黑客团伙曾使用该远控窃取印度军事目标的敏感信息。
MD5:f940e886a40783deb4e97fe6d842da7a
文件类型:Microsoft Excel工作表
Excel文件截图
VT查杀分数:35/62
用OLETools工具查看Excel文件属性:
cmd > olemeta.py <file name>
用OLETool命令查看OLE详细信息:
cmd > olevba.py -a <filename>
可疑点
从Excel文件中提取VBA代码,并保存至文本文件。使用的命令是:
cmd> olevba.py --deobf <filename> > Path\output.exe
从VBA代码中可以看出子程序创建了一个文件夹并且生成了文件C:\ProgramData\Rlmdias\Rlmdias.exe:
打开Excel文件,按Alt+F11打开VBAProject,但发现受密码保护。用这个GitHub代码移除密码,过程可以参考我之前写的一篇博文。移除密码之后,看到userForm1,包含两个文本框和适配感染系统版本(32位或64位)生成的PE文件的16进制值:
在调试的过程中发现,VBA代码会生成一个压缩文件“C:\ProgramData\Rlmdias\drngervia.zip”,并调用unSadozip解压:
压缩文件中包含drngervia.exe,解压后通过shell命令执行:
当shell命令执行时,会打开Windows Features窗口,询问下载安装.Net Framework 3.5:
由于必需的依赖关系,我安装了上述.Net Framework。
生成的文件:
MD5:10F955EF9F398E91CA9AE4F34CECD873
文件类型:Win32 EXE
文件名:drngervia.exe
签名:Microsoft Visual C# v7.0 / Basic .NET
家族:Crimon,亦称为SEEDOOR和Scarimson
类型:木马
VT查杀分数:47/72
用dnSpy调试PE文件。审查代码发现,该木马通过修改注册表开机启动,保证持续性感染:
获取系统正在运行的进程列表:
获取正在运行的进程列表
木马会检查运行的杀毒软件,列表如下:
经过在代码层面的分析,该远控木马具备以下功能:
drngervia.exe在运行后会与C2服务器建立通信,C2服务器的IP和端口是硬编码在代码里的。IP是十进制格式。然而C2服务器并没有响应。
我也发现了其他硬编码的IP地址和用户名,但是没观察到木马与IP 124.115.201.118通信:
木马行为:
执行流程:
样本下载地址:f940e886a40783deb4e97fe6d842da7a
参考资料:Any.Run
原文链接:https://malwr-analysis.com/2020/07/24/crimson-rat-malware-analysis/
翻译:看雪翻译小组 SpearMint
校对:看雪翻译小组 Nxe
[注意]APP应用上架合规检测服务,协助应用顺利上架!
最后于 2020-8-24 17:03
被SpearMint编辑
,原因: