样本为远控客户端,样本联网下载大灰狼远控dll,其导出函数DllFuUpgradrs注册自启服务、连接服务端,接收服务端指令来控制用户系统。
大灰狼RAT分析 - 图1
样本执行流程

1. 样本概况

1.1 样本信息

File:菲律宾确诊新型肺炎病毒.exe
Size: 217088bytes
MD5: 30C13ED8030DDA8A578E822B60E3B24F
SHA1: A54F9C32425AD9FDBA48938418508BA54582EDE6
CRC32: 1B8896E5

1.2 测试环境及工具

运行平台:Windows 7 X64
系统监控工具:火绒剑
调试工具:IDA Pro、OD

2. 沙箱监控

大灰狼RAT分析 - 图2
打开N62.dll文件(解密该文件)

大灰狼RAT分析 - 图3
释放自身到系统目录并启动

大灰狼RAT分析 - 图4
写入的注册表键值

3. 逆向分析

3.1 菲律宾确诊新型肺炎病毒.exe分析

大灰狼RAT分析 - 图5
PE文件基本信息

3.1.1 入口函数

检查当前系统版本配置分辨率。
大灰狼RAT分析 - 图6 大灰狼RAT分析 - 图7
判断系统版本

大灰狼RAT分析 - 图8
设置屏幕分辨率

3.1.2 payload的下载与解密

检查payload文件是否存在:
大灰狼RAT分析 - 图9

文件不存在,则下载N62.dll:
大灰狼RAT分析 - 图10

文件存在则读取N62.dll,检查标识是否一致
大灰狼RAT分析 - 图11
检查payload标识

动态调试下查看到payload打开位置:
大灰狼RAT分析 - 图12
读取C:\Program Files\AppPath\N62.dll

检查payload存在且标识正确后,解密N62.dll,并加载它,遍历导出表寻找到payload的需要的导出函数地址:DllFuUpgradrs
大灰狼RAT分析 - 图13

动态调试dump解密后的N62.dll,下图可以看到解密后的PE文件魔数”MZ”。
大灰狼RAT分析 - 图14
N62.dll解密完成

3.1.2.1 解密算法

大灰狼RAT分析 - 图15
解密函数

观察解密操作特征,得知加密算法为RC4算法,其为对称算法,通过简单的异或实现加解密。

大灰狼RAT分析 - 图16
RC4算法初始化函数

大灰狼RAT分析 - 图17
加解密函数

3.1.2.2 加载payload: N62.dll

大灰狼RAT分析 - 图18
通过读取PE文件关键字段:imagebase加载基址、sizeofimage加载在内存中的大小。
根据基址和大小,在基址地址申请相应大小的空间,加载dll并修改内存属性为可执行。

3.1.2.3 获取并调用导出函数DllFuUpgradrs

大灰狼RAT分析 - 图19
解析导出表

实现手段:根据加载基址获取数据目录表,获取到数据表的第0项:导出表地址。遍历导出表得到需要的函数地址。

大灰狼RAT分析 - 图20
对比导出函数名称

简单验证地址非零后,样本直接调用DllFuUpgradrs函数,参数为一段密文与密钥。
大灰狼RAT分析 - 图21
调用DllFuUpgradrs([密文],[key])

大灰狼RAT分析 - 图22
N62.dll 导出表

大灰狼RAT分析 - 图23
DllFuUpgradrs地址

3.2 payload-N62.dll

Dump得到N62.dll,文件被加壳(upx壳)。
大灰狼RAT分析 - 图24
N62.dll文件信息

大灰狼RAT分析 - 图25
N62.dll脱壳后信息

3.2.1 导出函数DllFuUpgradrs

动态调试查看函数调用时的寄存器、堆栈与内存信息:
大灰狼RAT分析 - 图26
DllFuUpgradrs调用

函数DllFuUpgradrs行为基本描述:
(1) 传入参数分别为密文和密钥
(2) 解密密文,将得到的明文赋值给各个全局变量
(3) 明文内容包括服务器信息,各类设置的参数
(4) 复制自身到系统目录运行,并设置开机自启
(5) 创建多个注册表键值
(6) 连接服务端,并创建线程接收处理服务端指令
(7) 主要远控功能包括:文件管理、屏幕监视、摄像头记录、音频记录、键盘记录、远程shell、系统管理。

大灰狼RAT分析 - 图27
解密并根据明文赋值

大灰狼RAT分析 - 图28
解密密文操作:异或

大灰狼RAT分析 - 图29
根据明文给各变量赋值

大灰狼RAT分析 - 图30
获取本进程路径

大灰狼RAT分析 - 图31
检查运行在系统目录

大灰狼RAT分析 - 图32
创建服务开机自启

DllFuUpgradrs查询注册表检查自身服务是否开启:
大灰狼RAT分析 - 图33
检查服务

大灰狼RAT分析 - 图34
查询注册表

DllFuUpgradrs检查服务完成,开始连接服务端,并获取功能分发函数OnRecvive:
大灰狼RAT分析 - 图35
连接服务端

3.2.2 连接服务端

样本与服务端通讯使用TCP socket,host与port均为前文解密的明文数据。
Host: 91.193.102.149
Port: 0x51
大灰狼RAT分析 - 图36
Socket通信

连接完成,创建线程接收服务端数据,并处理对应指令:
大灰狼RAT分析 - 图37
创建线程:recv & OnReceive

3.2.3 接收&处理指令线程

上节中,连接服务端完成后,则创建线程接收并处理服务端指令。
大灰狼RAT分析 - 图38

新线程基本操作:
(1)接收服务端数据;
(2)解密数据(rc4算法);
(3)解析数据包获取指令;
(4)分发功能执行OnReceive函数。
具体见下图。

大灰狼RAT分析 - 图39
接收数据,并解密

大灰狼RAT分析 - 图40
解析获取指令,并执行功能分发函数

3.2.4 功能分发

功能分发函数OnRecvive地址如下:
大灰狼RAT分析 - 图41
OnRecvive地址

OnRecvive地址在函数DllFuUpgradrs中,随服务端地址、服务端端口、创建的本地服务名称一同保存到结构体对象(类对象),作为参数提供给各种成员函数引用。
大灰狼RAT分析 - 图42
获取功能分发函数地址

OnRecvive分发执行主要功能如下,包括:文件管理、屏幕监视、摄像头、键盘记录、录音、系统管理、远程shell等等。
大灰狼RAT分析 - 图43
OnRecvive

3.2.4.1 文件管理

大灰狼RAT分析 - 图44
文件管理

3.2.4.2 屏幕监控

基本流程为:扫描光标资源保存,扫描屏幕并转化为位图,将数据发送。
大灰狼RAT分析 - 图45
屏幕监视线程

大灰狼RAT分析 - 图46
大灰狼RAT分析 - 图47
屏幕监视初始化函数

大灰狼RAT分析 - 图48
发送图片数据

3.2.4.3 摄像头

大灰狼RAT分析 - 图49
压缩视频数据,并发送

大灰狼RAT分析 - 图50
XViD视频编码

3.2.4.4 键盘记录

大灰狼RAT分析 - 图51
拦截键盘消息

大灰狼RAT分析 - 图52
记录键位虚拟码

大灰狼RAT分析 - 图53
读取记录文件发送

3.2.4.5 录音

大灰狼RAT分析 - 图54
录音

3.2.4.6 Shell管理

大灰狼RAT分析 - 图55
远程运行cmd,并获取回显

3.2.4.7 系统管理

大灰狼RAT分析 - 图56
大灰狼RAT分析 - 图57
操作各项系统设置

4. 网络行为

4.1 服务端主机信息

IP地址为91.193.102.149;
Port端口为81(0x51)、9090(0x2382)。

4.2 上线方式

除C&C服务器接收消息,还额外有三种上线方式:
大灰狼RAT分析 - 图58
其他3种上线方式