首页
社区
课程
招聘
[原创]KimSuky组织一远控样本分析
发表于: 2020-12-25 19:55 5813

[原创]KimSuky组织一远控样本分析

2020-12-25 19:55
5813

MD5:ae986dd436082fb9a7fec397c8b6e717

SHA1:31a0168eb814b0d0753f88f6a766c04512b6ef03

SHA256:3110f00c1c48bbba24931042657a21c55e9a07d2ef315c2eae0a422234623194

image-20201224203049898

image-20201225193828852

image-20201224205008067图标和名字伪装成ESET的升级程序,打开火绒剑设置过滤信息后,双击后弹窗提示升级成功,查看火绒剑捕获的动作信息

image-20201224205055495

火绒剑自动高亮了一个行为,这个是把C:\Users\Administrator\AppData\Roaming\目录下的程序加到开机启动项,前面的几步就是把释放的程序放到这个目录下

image-20201224205220083

image-20201224210607192image-20201224211030831

32位程序无壳,在Keygener中发现有Base64和CRC32怀疑程序内有一定的加密措施,拖到IDA中接着分析

通过分析导入表发现有网络连接和文件操作的相关函数,印证了前面火绒剑行为分析的结构,不过很奇怪为什么火绒剑没有监测到网络连接行为

image-20201224211536448image-20201224211625625

image-20201224213432292

进入函数后有一堆加密过的字符串和一堆GetProcAddress函数调用,猜测是动态加载某些函数,具体加载什么函数需要配合动态调试查看

image-20201224213715202

通过在OD中的动态调试发现这个函数就是导入了三个DLL(WININET.dll, urlmon.dll, kernel32.dll)

image-20201224214155723image-20201224214423343

前两个DLL 获取了网络相关函数

image-20201224220903027

kernel32获取了CreateToolhelp32Snapshot和WinExec

这个函数简单来说就是把自身复制到特定目录,然后设置注册表实现自启动,最后弹窗欺骗用户升级成功已被保护

image-20201225091948396

通过GetAdaptersInfo获取网卡相关信息

image-20201225101029046

GetVolumeInformation获取c盘序列号

image-20201225101135528

如果序列号获取失败就根据时间设置随机数

image-20201225101210701

获取操作系统的相关信息,然后标准Base64编码一下


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 4
支持
分享
最新回复 (1)
雪    币: 30
活跃值: (3385)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
为什么不把自己直接伪装成浏览器的更新程序,直接结束浏览器更新进程、替换文件、再启动呢?何故?
2021-3-4 09:41
0
游客
登录 | 注册 方可回帖
返回
//