首页
社区
课程
招聘
[原创]【分析记录】疑似Confucius组织组件CuoliVXaRAT分析
发表于: 2021-7-14 00:28 12264

[原创]【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

2021-7-14 00:28
12264

背景:Confucius组织,被疑似为南亚大陆印度政府背景支持的APT组织,该组织长期对南亚多国及我国相关政府、航天工业、船舶工业、海运等行业进行网络间谍窃密活动。本次分析组件疑似为该组织在2020年相关攻击活动中使用到的远控组件,目前似乎该组件并没有确切的名称,结合其目录等相关信息,将其命名为“CuoliVXaRAT”。

 

文件名称

feedback_to_NWRC.exe

文件功能及家族

远控/ CuoliVXaRAT

文件类型

exe

文件大小

3894784   bytes

文件开发语言

golang

编译时间(utc0)

/

PDB

/

VT首次提交时间

2020-03-30

VT首次提交方式及国家

/

MD5

eef2e2146a102e10297a91d28408cac3

 

golang编写程序,通过redress简单的查看该病毒的源码结构,其源码结构如下图,可以简单分析出该病毒并非规范化产生的攻击样本,样本功能较少,拥有截屏以及键盘记录器的功能。

 

该组件第一步尝试连接C2“213.252.245.191:8080”地址

 

尝试创建目录“\ProgramData\CuoliVXa”

 

创建文件“\ProgramData\CuoliVXa\WindowAssistance.exe

 

创建脚本文件“\ProgramData\CuoliVXa\reg.bat

 

reg.bat脚本内容为将“\ProgramData\CuoliVXa\WindowAssistance.exe”添加到注册表自启动项

 

执行该reg.bat脚本

 

判断是否驻留成功,并且base64编码对应的返回结果“[*] Persistence Enabled!”或者“[!] Persistence Failed!”

 

接着尝试检测“WindowAssistance.exe”,然后弹出对话框用于打消目标的疑心

 

对话框内容如下图

 

开始接收C2传递命令,其C2传输数据使用base64进行了编码

 

该组件拥有多个功能,包括但不限于命令执行、文件下载、文件上传、屏幕截图、键盘记录等。

命令

功能

download

文件下载

exit

退出

ls

列出文件

upload

上传文件

zip_multiple

通过正则匹配文件,将文件收集到目录“C:\ProgramData\ms_package\”,并将该目录zip压缩到文件“C:\ProgramData\ms_package.zip”

lockscreen

锁屏

screenshot

屏幕截图

keylogger   start


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2021-7-14 09:13 被binlmmhc编辑 ,原因:
上传的附件:
收藏
免费 4
支持
分享
最新回复 (3)
雪    币: 622
活跃值: (1231)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
强啊!
2021-7-14 08:54
0
雪    币: 2102
活跃值: (1331)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
流弊
2021-7-16 14:49
0
雪    币: 60
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
有一个小错误:‘使用xxcopy将“WindowAssistance.exe”拷贝到目录“\ProgramData\CuoliVXa\”,并执行创建reg.bat并运行执行驻’中的xxcopy应该为xcopy或copy
2022-8-8 05:37
0
游客
登录 | 注册 方可回帖
返回
//