样本区的一枚远控分析

本帖最后由 hjm666 于 2019-8-1 13:37 编辑

  • 前言

    样本区的一·枚远控样本,对远控有些兴趣想了解,便下手了。  
地址:https://www.52pojie.cn/forum.php?mod=viewthread&tid=989404&extra=page%3D1%26filter%3Dtypeid%26typeid%3D15&page=1

样本信息


文件名RServ.exe文件大小898728 字节文件类型PE32 executable (GUI) Intel 80386, for MS WindowsMD5634caf9ff5ef2d2f66bdf06981260113

查壳



    无壳,但编译语言判断上有些迷,有这个原因,能猜测提供的样本还不是最初样本,还或是释放后的程序。

  • 环境与工具


环境:VMware   WinXP (x64)
工具:火绒剑、IDA、吾爱OD、process、PEID、pexplorer、smsniff、regsnap、hex wrokshop,reshack

  • 基础信息收集


静态分析,可疑字符串




敏感的API函数



在其资源文件中发现了一个大宝贝,dump下来进行保存

  • 基础动态分析


开启相关的监控软件,进行运行样本
火绒剑捕获了样本创建了一个.hlp系统帮助文件,并注册了服务



创建了一个bat可执行文件



新创建了一个进程组



查看这个新创建的进程组动作信息



注册表发现注册表,系统服务新增了一个键值




注册表查看其详情




网络信息截获



样本创建的隐藏目录下的隐藏hlp文件

  就此已经能够大致分析出核心代码是怎么运行起来的了,样本创建了一个windows系统服务,然后启动这个服务,通过svchost.exe进程加载核心代码,隐蔽稳定运行核心代码。

  • 深入分析


入口点



分析过程中发现了一个有意思的函数调用一些IDA和OD未检测出的函数
先加载相关dll的句柄



样本内存里存有一些API函数名字符串,通过寄存器偏移得到想要使用的api函数字符串地址,用getprocaddres函数将最终API函数的地址获取,随后调用这个函数,达到避过检测隐蔽效果,同时样本中含有大量的指针函数,内存地址中存放着函数地址,大大干扰了分析



大致流程



截取到创建互斥体



在继续获得系统环境,以及进行判断系统操作系统版本



同样是利用00411B90函数进行调用函数,截取到敏感函数,提权函数,以及免杀函数,在进行安全扫描是返回垃圾数据,这两个函数都在官方文档中未查找到,未公开,经过一番百度蛛丝马迹不得其详解。

创建了这个Remote.hlp文件,并将一段PE数据写入,经对对比数据,发现是在资源文件中发现的大宝贝



进行设置了文件夹,文件属性



重头戏创建系统服务



服务中查看



随后继续创建它的子项,其中Parameters项指向这个样本释放的伪装的.hlp后缀,windows系统的帮助文件



开启这个服务



利用net.exe继续开启这个服务



继续创建了一个bat文件,向其中写入了相关数据



在这个bat文件删除前,截获,发现ping  127.0.0.1  以及删除原本,以及自身文件



至此,通过创建的服务,启动核心代码,核心代码已经在计算机中潜藏并隐蔽运行

  如何解决,删除相关后门服务,以及释放文件,可以停止其连接和启动,最终还是要看中了远控后,是都留下后门,以及建立隐藏超级用户等等方面

  • 远控核心代码


  到了核心代码,这时我们就要来了解下远控原理了。
远控运行原理是一种很简单的运行原理,分为控制端,被控端;被控端与控制端建立一个稳定的长期的连接通道,用于接收控制端发送给被控端的指令,被控端接收到指令后进行执行,或者是被控端向控制端传输控制者想要的数据,以来达到控制者的意图。
在上面的前提上,远控程序需要一定的隐蔽性,一定的权限,以及长期在线的功能,其余,远控在原理上大同小异,不同的是不同的远控在能实现控制者意图的功能上的区别。

详细:https://www.freebuf.com/articles/system/166876.html

这个核心的代码也沿用了RServ.exe中00411B90函数的方法,进行使用一些API函数



获得本机IP,访问的网站ip:223.82.248.117



浏览器访问回显



与目标服务器进行建立连接 ,目标服务器ip:223.82.248.117



emmm 由于这个远控的功能挺全衍生的大量的函数,足足有2000多个····



不过作者为了方便自己编写,使用了大量的中文字符,所以我们也很容易通过字符,找到其功能操作的地方,我也就不上太多实现功能的函数图了,函数太长,就上一些分析出了字符串展现一些它所拥有的功能





  好好好学习,天天向上,如有错误,望指正! 谢谢!!

THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发
  • 管埋员

    昵称

  • 取消
    昵称