新手帖- .net 适合新手分析的样本

本帖最后由 Assassin_ 于 2019-6-20 12:10 编辑

# 适合新手分析的样本 NANOCORE  .net
## 前言
该样本为.net样本,由于本人对该语言样本分析较少,所以可能有地方存在错误,还请各位指正,私信或者评论都可以{:1_893:}
样本本身比较简单,所以适合我们这样的新手练手,个人还是比较推荐的
## 分析
样本为压缩包,进行解压发现

样本采用C#编写

对其进行调试,异或解密

Base64解码

得到另一个PE文件

该PE比较简单,对资源进行解密,并通过线程运行

解密算法

解密资源依旧为一个PE文件,该PE加壳,采用代码乱序和混淆,脱壳之后,逻辑还是比较清晰的
因为代码比较清晰,所以把可以分析的都说一下
首先获取"CdoWOnwWzidv"和"vrONsPaWCyia"资源文件,对其进行解密并加载,解密算法与之前一致

1. 检测虚拟机


  



2.  关闭防火墙,保证权限



检测是否存在%userprofile%\\NUUSER目录,存在则检测是否为管理员权限,如果满足cmd直接运行

否则先利用注册表关闭防火墙

然后通过PowerShell获取Windows Defender扫描和更新的首选项,并对其进行配置,将结果写入%userprofile%\\NUUSER文件


3. 选择载荷的运行方式
获取资源名"RBaqnfSVWpZS"资源(该处没有找到该资源)
可以通过RegAsm运行起来



或者将资源写入%userprofile%\\#bindname#.exe,并通过直接创建进程使其运行

4. 拷贝自身,并清理环境
拷贝该文件到%APPDATA%\\filename.exe,并删除zone.identifier文件

5. 自启动方式
根据a3的不同设置自启动方式

a3=Folder
base64解码vbs脚本,通过脚本运行

a="Registry"
通过注册表运行

a=task
通过计划任务运行

运行真正的木马程序
检测是否存在RegAsm.exe,程序的运行环境程序集,解密算法与之前一致,解密之后运行

查看解密之后的程序为nanocore 1.2.2.0 版本,谷歌之后发现这是一个成熟的RAT。



包含插件、文件、命令行、键盘记录等功能,功能比较全面。知识有限,就不再做分析了。
## 尾声

附件: 52pojie

THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发
  • 管埋员

    昵称

  • 取消

    请填写用户信息: