首页
论坛
课程
招聘
[翻译]Crimson远控木马分析
2020-8-19 08:59 10774

[翻译]Crimson远控木马分析

2020-8-19 08:59
10774

Crimson远控木马分析

Crimson是一款远控木马,可远程控制感染设备并窃取数据。巴基斯坦黑客团伙曾使用该远控窃取印度军事目标的敏感信息。

 

MD5:f940e886a40783deb4e97fe6d842da7a

 

文件类型:Microsoft Excel工作表
Excel文件截图

 

Excel文件截图

 

VT查杀分数:35/62
VT查杀分数

 

用OLETools工具查看Excel文件属性:
Excel文件属性

 

cmd > olemeta.py <file name>

 

用OLETool命令查看OLE详细信息:
OLE详细信息

 

cmd > olevba.py -a <filename>

 

可疑点

  • VBA代码在Excel工作表打开时会自动运行
  • 创建文件夹
  • 写入文件
  • 运行shell命令
  • 16进制字符串混淆

从Excel文件中提取VBA代码,并保存至文本文件。使用的命令是:

 

cmd> olevba.py --deobf <filename> > Path\output.exe

 

从VBA代码中可以看出子程序创建了一个文件夹并且生成了文件C:\ProgramData\Rlmdias\Rlmdias.exe:
VBA代码

 

打开Excel文件,按Alt+F11打开VBAProject,但发现受密码保护。用这个GitHub代码移除密码,过程可以参考我之前写的一篇博文。移除密码之后,看到userForm1,包含两个文本框和适配感染系统版本(32位或64位)生成的PE文件的16进制值:
VBAProject

 

在调试的过程中发现,VBA代码会生成一个压缩文件“C:\ProgramData\Rlmdias\drngervia.zip”,并调用unSadozip解压:
unSadozip

 

Locals

 

压缩文件中包含drngervia.exe,解压后通过shell命令执行:
Shell命令

 

当shell命令执行时,会打开Windows Features窗口,询问下载安装.Net Framework 3.5:
Windows Features窗口

 

由于必需的依赖关系,我安装了上述.Net Framework。

 

生成的文件:

 

MD5:10F955EF9F398E91CA9AE4F34CECD873

 

文件类型:Win32 EXE

 

文件名:drngervia.exe

 

签名:Microsoft Visual C# v7.0 / Basic .NET

 

家族:Crimon,亦称为SEEDOORScarimson

 

类型:木马

 

VT查杀分数:47/72
VT查杀分数

 

用dnSpy调试PE文件。审查代码发现,该木马通过修改注册表开机启动,保证持续性感染:
修改注册表

 

获取系统正在运行的进程列表:
获取正在运行进程

 

获取正在运行的进程列表

 

木马会检查运行的杀毒软件,列表如下:

  • Bit Defender
  • Quick Heal
  • Microsoft Essentials
  • F-Secure
  • Kaspersky
  • Avira
  • Symantec
  • MacAfee
  • AVG
  • Avast

杀毒软件列表

 

经过在代码层面的分析,该远控木马具备以下功能:

  • 获取系统正在运行的进程
  • 获取系统上的硬盘、目录和文件信息
  • 获取主机名和用户ID
  • 截屏
  • 与C2服务器通信,获取命令
  • 使用自定义端口连接C2服务器

drngervia.exe在运行后会与C2服务器建立通信,C2服务器的IP和端口是硬编码在代码里的。IP是十进制格式。然而C2服务器并没有响应。

  • IP地址:107.175.64.[251]
  • 端口:6286、4486、8249、11447、16865

我也发现了其他硬编码的IP地址和用户名,但是没观察到木马与IP 124.115.201.118通信:
硬编码地址和用户名

 

木马行为:

  • Excel文件生成PE文件
  • PE文件依赖.Net Framework 2.0
  • PE文件尝试连接C2服务器但并未得到响应

执行流程:
执行流程

 

样本下载地址:f940e886a40783deb4e97fe6d842da7a

 

参考资料:Any.Run

 

原文链接:https://malwr-analysis.com/2020/07/24/crimson-rat-malware-analysis/

 

翻译:看雪翻译小组 SpearMint

 

校对:看雪翻译小组 Nxe


[注意] 欢迎加入看雪团队!base上海,招聘安全工程师、逆向工程师多个坑位等你投递!

最后于 2020-8-24 17:03 被SpearMint编辑 ,原因:
收藏
点赞1
打赏
分享
最新回复 (1)
雪    币: 60
活跃值: 活跃值 (28)
能力值: (RANK:0 )
在线值:
发帖
回帖
粉丝
mb_hcnatiez 活跃值 2021-4-19 12:48
2
0
收远控源码。靠谱的大佬来谈。QQ 3103733694
游客
登录 | 注册 方可回帖
返回