-
-
[原创]【分析记录】疑似Confucius组织组件CuoliVXaRAT分析
-
发表于:
2021-7-14 00:28
12305
-
[原创]【分析记录】疑似Confucius组织组件CuoliVXaRAT分析
背景:Confucius组织,被疑似为南亚大陆印度政府背景支持的APT组织,该组织长期对南亚多国及我国相关政府、航天工业、船舶工业、海运等行业进行网络间谍窃密活动。本次分析组件疑似为该组织在2020年相关攻击活动中使用到的远控组件,目前似乎该组件并没有确切的名称,结合其目录等相关信息,将其命名为“CuoliVXaRAT”。
文件名称
feedback_to_NWRC.exe
文件功能及家族
远控/ CuoliVXaRAT
文件类型
exe
文件大小
3894784 bytes
文件开发语言
golang
编译时间(utc0)
/
PDB
/
VT首次提交时间
2020-03-30
VT首次提交方式及国家
/
MD5
eef2e2146a102e10297a91d28408cac3
golang编写程序,通过redress简单的查看该病毒的源码结构,其源码结构如下图,可以简单分析出该病毒并非规范化产生的攻击样本,样本功能较少,拥有截屏以及键盘记录器的功能。
该组件第一步尝试连接C2“213.252.245.191:8080”地址
尝试创建目录“\ProgramData\CuoliVXa”
创建文件“\ProgramData\CuoliVXa\WindowAssistance.exe”
创建脚本文件“\ProgramData\CuoliVXa\reg.bat”
reg.bat脚本内容为将“\ProgramData\CuoliVXa\WindowAssistance.exe”添加到注册表自启动项
执行该reg.bat脚本
判断是否驻留成功,并且base64编码对应的返回结果“[*] Persistence Enabled!”或者“[!] Persistence Failed!”
接着尝试检测“WindowAssistance.exe”,然后弹出对话框用于打消目标的疑心
对话框内容如下图
开始接收C2传递命令,其C2传输数据使用base64进行了编码
该组件拥有多个功能,包括但不限于命令执行、文件下载、文件上传、屏幕截图、键盘记录等。
命令
功能
download
文件下载
exit
退出
ls
列出文件
upload
上传文件
zip_multiple
通过正则匹配文件,将文件收集到目录“C:\ProgramData\ms_package\”,并将该目录zip压缩到文件“C:\ProgramData\ms_package.zip”
lockscreen
锁屏
screenshot
屏幕截图
keylogger start
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2021-7-14 09:13
被binlmmhc编辑
,原因: