遠控NanoCore RAT樣本分析

2021-09-24 20:18:21 字數 2299 閱讀 7113

nanocore rat是在.net框架中開發的有名的遠控軟體,網路環境中大量利用各種手段傳播此軟體,有時巧妙的構造有效的繞過殺軟在進一步通過服務端進行功能模組的更新,深受黑客喜愛,從蜜罐捕獲相應的樣本做進一步分析。

客戶端一鍵生成非常非常方便,配置相關主機埠,dns,圖示等。 

檔名稱

register

檔案大小

135496 bytes

檔案型別

rich text format

md5c55aa1af2e3cf3e782627d068104313e

sha1

9e391eefce95244a4a4079bf07036108326f6e80

crc32

9f5b2405

表1.1樣本資訊

環境:windows7 x86

工具:ida od proces***plorer pchunter 火絨劍 lordpe 

virustotal平台行為檢測39/54基本判定為惡意程式。

火絨劍檢測有釋放pe檔案,並完成自我複製,建立啟動項。

直接將資料夾下的c\program files\wan service\wansv.exe,提取分析即可。本次將不直接分析,因為本樣本利用傀儡程序,為了更加深入了解傀儡程序原理,因此對源程式執行流程進行細緻分析。

有重新建立程序,啟動程序。

1.通過createprocess建立程序,傳入引數create_suspended使程序掛起

2.通過ntunmapviewofsection清空新程序的記憶體資料

3.通過virtualallocex申請新的記憶體

4.通過writeprocessmemory向記憶體寫入payload

5.通過setthreadcontext設定入口點

6.通過resumethread喚醒程序,執行payload

在createprocessw 進行下斷。

執行後 setthreadcontext 進行下段,pchunter dump出來傀儡程序

dump出來的程式upx加殼。脫殼後在資源中有載入nanocore客戶端程式。繼續dump檔案。

virtualalloc可見為資源載入的pe檔案申請的空間大小。

資源載入呼叫loadresource.

dump出來的程式為c#編寫的.net程式。

dnspy反編譯發現為nanocore 的客戶端。nanocore生成的客戶端只需檢視socket連線的主機即可。

ip191.101.22.13,埠4110。 

將ip修改為本機。執行nanocore服務端,建立埠4110。啟動服務端。執行遠端監控。

本惡意樣本殺軟幾乎都可以查殺。執行殺軟即可。

刪除hkey_local_machine\software\microsoft\windows\currentversion\run啟動項中名稱為wan service,數值資料為c:\program files\wan service\wansv.exe的鍵值。

將c:\program files\wan service\wansv.exepe檔案隱藏屬性去掉,刪除軟體。

如何玩轉andriod遠控(androrat)

清風 2013 09 09 13 47 關於webview中介面隱患與手機掛馬利用的引深 看我是怎樣改造android遠端控制工具androrat 1.修改布局介面 2.配置預設遠端ip和埠 3.launcheractivity修改為執行後自動開啟服務並自動返回到主介面 4.修改xml讓程式不顯示在...

Python簡易遠控(單執行緒版)

1.技術 管道通訊,流檔案處理,socket基礎 2.tips 預設ip 127.0.0.1 預設埠 7676 3.樣例 服務端 usr bin env python encoding utf 8 import socket import sys from os import reload sys ...

初識Kage msf視覺化遠控平台

今天看見有老哥在朋友圈分享了乙個神器的github鏈結 kage,乙個把msf變成視覺化遠控平台的工具,決定仔 瞎 細 bi 研究一番 首先在readme中作者提到了,kage是讓msf rpc與會話進行互動式產生有效載荷,並且目前只支援windows meterpreter和android met...