远程访问木马Cybergate RAT的样本分析
奇安信攻防社区
2024-09-03 09:33:43
收藏
前言
==
CyberGate 是一种远程访问木马 (RAT),允许攻击者未经授权访问受害者的系统。攻击者可以从世界任何地方远程连接到受感染的系统。恶意软件作者通常使用此程序窃取密码、文件等私人信息。它还可能用于在受感染的系统上安装恶意软件。
IOC
===
| Hash | Value |
|---|---|
| SHA1 | 83ebbf632e25dbe69b060d190a42a5125ffe3902 |
| MD5 | 0ee2f7d6a851faf44bf235186be91a19 |
| SHA256 | b64c40843b011d715c431b761680e8565383ac702f5ed80492fb30bd6aa33929 |
unpame链接(dump文件下载地址):<https://www.unpac.me/results/7ec3268f-b1ed-49af-a8ff-218513c127db/>
DIE静态分析
=======
分析第一步,借助PE查询工具,这里用的是DIE:
![image-20240809140658291](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-b09f51a3d6607e2375465ae0cfcd8e12e59591dc.png)
32位程序,可以看到加了UPX壳(这一类壳最简单,直接脱就可以)。语言用的Delphi。
![image-20240807103512894](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-a320c34a7d89b402c792b6441d68b76b0e676b54.png)
查看节表也可以发现,没有被魔改过,那就直接UPX -d
![image-20240809140749979](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-75ca9127ff9a526454475ad97373697e1eb24ab6.png)
脱完壳的文件会直接覆盖掉原文件,DIE继续深入分析
查看信息熵,信息熵可以判断该恶意程序是否有被加壳混淆,或者是在内存中载入了一些有效负荷。
![image-20240807103822341](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-e3f698f58177aee1b1d6ad27a2a485fd927a3a7b.png)
加了壳的,准确来说是.rsrc节被加壳混淆了;图表上具有高而平坦的熵值区域,说明很有可能该恶意软件具有注入的行为,即注入了代码到内存中。
可以查看导入表,再次肯定这一推测:
![image-20240807104102308](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-e1d8cf1df8a893089a25996f69a1cf711caf6296.png)
发现函数 `VirtualAlloc` ,该函数是合法的用于分配内存的函数,但是恶意软件经常用它来进行一些注入行为。在地址空间中分配一块内存,将恶意代码注入其中并执行。
字符串方面查看了,但是没有什么可疑信息。
沙箱大致行为
======
用沙箱查看一下大致的流程,仅作为参考。(高级分析要收费,普通用户的随便看看)
![image-20240807104631360](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-f2b5e9e2afae80fdcfcace84ec0fc01680c0816e.png)
主进程释放了俩个文件,推测其一就是进程注入的恶意代码。
![image-20240807104739664](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-32f1a6857a327573029d711a6d7ce0a1e463d7d1.png)
可以看到特别多的网络连接,充分说明了CyberGate作为一个远程访问木马的作用。
![image-20240807104851590](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-b27e040d60cfd467218a8ccb4728a1d799942507.png)
其它没有什么了,还是得手动分析。
IDA初步分析
=======
IDA配置
-----
语言用的是Delphi,IDA可以做些修改
禁用分析:
![image-20240809140822420](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-03e45bc19bc0b536ee76120ed13291bb563aa56c.png)
Option -> Compiler options
![image-20240807105927181](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-de95c90435fa0172b7b5c1d19ca7eff222e7b439.png)
Options -> general -> Analysis
![image-20240807110006849](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-a530ecf2fd4f0ee822fc603bf3cd868a846dd4fe.png)
点击OK,可以开始分析了
创建互斥锁
-----
start函数开始先用`CreateMutexA`创建了俩个互斥锁:
![image-20240807110531259](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-b262af5633cae4d0db3e4fa12862508ff1630836.png)
![image-20240807110621781](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-1f67e8b4dd20e77a6efd682d78e9b1a482f358a8.png)
分别是 `"_x_X_UPDATE_X_x_"` 和 `"_x_X_PASSWORDLIST_X_x_"` , 用`GetLastError`获取错误码,与0xB7比较。
第一处互斥锁如果存在,它会关闭互斥句柄并会休眠12秒,不存在的话就直接关闭互斥句柄。
一般情况下,互斥锁都不会存在,也就是这里不会进入if判断,往下走:
![image-20240808161803440](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-ac77f878ceec26e3e4cb8f978078295fc9c067e6.png)
else中又是互斥锁,不用理会,继续向下
![image-20240808162136771](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-78ae52cfe6d9817ab614a1be333a743c0b4fe049.png)
创建文件
----
在 `sub_40B93C`中的`sub_405D70` 发现了`CreateFileA`函数:
![image-20240808162252815](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-a71fbe0a812603e3873b43cf637f14b0b564951f.png)
在这里创建了一个文件并写入数据,字符串str\_XX**XX**XX\_txt,实际上就是XX--XX--XX.txt。这个正是我们在沙箱中观察到的释放文件。
注入技术
----
继续往下,在函数`sub_40B7FC`中发现了关键操作
![image-20240808162456008](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-7a3ed70837f3c2bdcaf715a81e337566ef85f578.png)
先是通过`FindWindowA`函数尝试查找**Shell\_TrayWnd**窗口,后检索其进程ID,如果没有找到的话就会创建一个名为 explorer.exe的新进程,然后使用 **ProcessInformation**、**hProcess** 作为参数调用`sub_4040F4`。
进入函数`sub_4040F4`:
![image-20240808162905286](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-9f2f8a26f163ee6521b459b416cd19c1b07d14d3.png)
无疑,发现了`VirtualAlloc`函数,恶意软件惯用的伎俩,通过该函数分配内存,之后`WriteProcessMemory`写入恶意代码并执行,依次排查下面的函数,最终在`sub_4038AC`中找到了执行代码的函数。
![image-20240808163057401](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-10064ff8d396d4604b9340457377a70b53c9505b.png)
通过函数`CreateRemoteThread`创建一个在另一个进程中的新线程来执行恶意代码。
提取二阶段
=====
![image-20240808163630971](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-10d26ca624f4f7b6b4f4fcb8b3d27527789229ed.png)
要想提取出有效负荷,就需要先过掉前面的互斥锁。我先是尝试了在`GetLastError`上设置了断点,但是,实际上发现,互斥锁根本就不会触发。那么直接`bp VirtualAlloc`
之后程序会陷入异常。仔细检查后发现问题出现在中间的一个call函数上,
![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-1080efc3d20c6760bbd77da81c140af5f837af0a.png)
IDA反编译后会报错:
![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-446ae39531d10fc57f43f2e37779f121683e280d.png)
从汇编上看是这样的:
![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-8caa0e29873c05bb5f71de8be9c98bcbb93a2115.png)
会一直call一个函数,然后cmp比较不符合就exit了。符合也是一直向下。不太想深入去调它,做了一个比较暴力的决定,直接nop掉了该函数,(不清楚后面会不会有影响)
在xdbg中nop掉之后,就可以F9运行了,断点会命中`VirtualAlloc`
在这里用硬件断点可以提取出内存中的恶意代码,具体如何操作,可以查看我近几篇文章。
断点命中后,Ctrl+F9得到函数的返回值,即分配内存区域的基地址,跳转到内存中,对第一个字节下硬件断点。
~接着F9 Ctrl+F9继续跑,慢慢跑,好像会再断俩次在`VirtualAlloc`上,最终,可以得到如下内存区:~
上面说错了,这样dump出去的文件只有几kb大小,在IDA分析的时候忽略了。这次的分配内存和之前的不同,之前是只执行一个`VirtualAlloc`,该恶意软件是循环多次分配内存,直到满了才结束
![image-20240808170701485](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-805223c5aa043e3f79f8e5cfe540502630a7dc46.png)
![image.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-1cc404cf48971cfa424de7759a09675490f71d95.png)
这里折腾了一会,还是有点残缺,因为dump出来的文件也是带壳的,upx没有魔改但是还是会报错。应该PE结构也被损坏了。
有个思路是通过写条件断点来自动化执行的,但是能力有待提高,最后还是选择使用沙箱dump出的文件。
第二阶段分析
======
使用unpacme可以dump出三个文件
![image-20240809140127783](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-5549a843bf195c803fcf45d7a3b6960d0e818702.png)
第一个样本
-----
![image-20240809141207854](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-10affde3ceb2b1a2855489288b133ef3706f21d2.png)
是一个Delphi编写的dll文件。
### IDA分析
入口点:
![image-20240809141349310](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-fcc289bf434feafb63241d629aff5135c8e9a93a.png)
没有什么值得留意的。查看导入表
有一个`StartHttpProxy`值得注意,前言说过这是一个远程访问木马。
### StartHttpProxy
#### 逃避防火墙
![image-20240809141559644](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-f73e0c11f34265d958d4732f38b3bc2464c4fde2.png)
函数`sub_4302E4`接收的参数1字符串代表的是 **'Windows Firewall Update'**,说明这里可能进行了和防火墙相关的操作。
![image-20240809141925033](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-19ec5e831b6ff3c8620045c545a26574b956a1ec.png)
进入到该函数中:
![image-20240809141958246](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-0a08e4ba5328bb6bc66b8ca15e599204bc11c709.png)
该恶意软件使用`Registry::TRegistry`类来操作注册表,完整的路径下来是:**SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List**,恶意软件会尝试打开该路径,如果不存在就创建它。
之后`LStrCat`可知将字符串拼接起来:将v2和`':*:Enabled:'`和`'Windows Firewall Update'`拼接起来给v7
![image-20240809142718490](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-1804c9612a4bc58de8cf2fa8e406eb7b03d778bc.png)
之后将拼接起来的v7写入上面的注册表中,并以**System\_\_AnsiString**作为值名称。
“Windows Firewall Update”应用程序已添加到授权应用程序列表中。“\*:Enabled:”部分通常表示已为该应用程序启用所有端口和协议,可能允许其通过防火墙自由通信。
这意味着恶意软件可能以“Windows Firewall Update”的名称运行,以逃避防火墙。
#### 启动HTTP代理
![image-20240809143217873](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-6eca469d9ec586ed307cc833645b28639d07c9a2.png)
在设置完防火墙之后,`sub_430214` 初始化了一个`TIdTCPServer`对象,表明了这是一个TCP服务器。
#### 创建互斥锁
![image-20240809143418928](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-83d137e76ead77125b63825e9ab86f19891c6dec.png)
![image-20240809143428559](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-1dbb0186575746073507f90a961b496bff289d4d.png)
### GetChromePass
这个导出函数看名字就和Chrome有关:
![image-20240809143814220](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-ca7415a835f00c32d15413e2b52d6432ef7ae573.png)
定位到函数 `sub_420C04`
![image-20240809145720432](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-005521d5f8a8af6e21259976d4b9db0a8df900b3.png)
**'Local AppData'**作为参数,分析`sub_41E4F8`
![image-20240809145842478](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-7f575931a3aa28c8de0ef59ffe81db55ea2c231b.png)
恶意软件将字符串**“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders”**分配给v8,并将字符串 **Local AppData** 分配给v7。
![image-20240809145957094](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-6b17346bb8d70084fe9d09e114fe758a37badf82.png)
在这里,从给定项 (Local AppData) 注册表 (SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders) 下的 Windows 注册表中检索特定值。
将文件从**“\\Local AppData\\Google\\Chrome\\User Data\\Default\\Web Data”**复制到`.tmp`文件夹
打开名为**“\\x0FTSQLiteDatabase”**的 SQLite 数据库
循环遍历数据库查询结果,然后检索并处理password\_value、username\_value、origin\_url。
使用`CryptUnprotectData`解密数据 (pDataIn)并将其存储在 pDataOut 中
### Mozilla3\_5Password
获取获取 Mozilla 的个人凭证。
![image-20240809150418714](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-8aa53bf472e25f5ff9a4a6154bb6131ee58012e6.png)
对user和passwd解密:
![image-20240809150616673](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-7e697f11edf1f8bd0df9caef88fb5e285bad8710.png)
第二个样本
-----
该样本同初始文件一样。
第三个样本
-----
![image-20240809150858346](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-36395edea435a9805d105179e339a53584ff6cd1.png)
![image-20240809151145075](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-fc93193be4f45c0cded00cf5e7aac13f19372453.png)
该dll没有导出函数,只有一个入口点:
### 实现持久性
![image-20240809151339006](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-2ae578ddc254ad80b5d4605f7327430e331042d7.png)
查看字符串发现很多关于注册表的操作。
**Software\\Microsoft\\Windows\\CurrentVersion\\Run**用于在用户登录时自启动的操作,**\\Policies\\Explorer\\Run**也是用于配置系统启动时的程序,不过它由系统策略控制,用于在特定情况下强制启动。
### 进程注入
![image-20240809151929652](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-bb0e99b53edeccf849c9dc94020129024f30420d.png)
创建进程和获取进程ID
![image-20240809152058057](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-3de5f7327e772004daec6d26ffbfe783cf87b62d.png)
然后它使用`LookupPrivilegeValueA`,**“SeDebugPrivilege”**
恶意软件使用 **SeDebugPrivilege** 获取访问权限,以调试和调整系统上任何用户拥有的进程的内存
### 检查Windows版本
在`sub_14043A04`函数中:
![11](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-6f757558b848d79834e0c9ae1f0f1c586e1165c3.png)
恶意软件通过检查`dwMinorVersion` 来检查 Windows 版本
如果它等于 1,则表示 Windows 版本是:
**Windows NT 3.1**或**Windows XP**或**Windows 7**或**Windows Server 2008 R2**
侵权请联系站方: [email protected]