木马和远控的区别(远控木马NetWireRAT升级)
木马和远控的区别(远控木马NetWireRAT升级)
2024-11-06 02:19:03  作者:夏語嫣  网址:https://m.xinb2b.cn/life/ivs194822.html


NetWire是一种远程访问木马(RAT,Remote Access Trojan),已经被广泛使用了多年。

最近,FortiGuard实验室发现了一种通过网络钓鱼电子邮件传播的恶意软件。分析表明,它正是NetWire RAT的新变种。

正通过钓鱼邮件传播的NetWire RAT新变种

图1展示的就是网络钓鱼电子邮件中的一个示例,它的底部包含一张带有超链接的图片。一旦点击,就会导致一个恶意文件被下载到计算机上。


图1.包含图片的网络钓鱼电子邮件示例

如你所见,恶意文件的下载链接为“hxxps[:]//www[.]mediafire[.]com/file/d86hz5qj21lmhrb/PROFORMA-INVOICE_0990.7z/file”。

下载的文件是一个.7z压缩文件,NetWire RAT的新变种就包含在其中。

解压缩后,你会得到一个名为“PROFORMA-INVOICE 0990.exe”的可执行文件。


图2.解压缩.7z文件

NetWire RAT新变种的反分析技术

FortiGuard实验室表示,这个新的NetWire RAT变种是采用MS Visual Basic编译的,且使用了多种反分析技术。

1.动态地将恶意代码提取到内存中并执行,这使得静态分析变得非常困难;

2.在安装完成后,并不会运行,直到受害者移动鼠标(通过对比鼠标光标的位置来实现),此技术被指用于反沙箱。

如图3所示,这个NetWire RAT新变种会通过两次调用API USER32.GetCursorPos()来获取鼠标光标的位置,然后对他们进行比较。

如果两次位置是相同的,则表明受害者没有移动鼠标,它则会停止运行,并在休眠一定时间后再次检查,直到位置不同为止。


图3.检查受害者是否移动了鼠标

3.调用API ntdll.ZwGetContextThread来获取当前线程上下文结构,以获取受感染计算机的CPU调试寄存器状态,此技术被指用于反调试。

首先,如果调试器设置了硬件断点,那么CPU寄存器中的Dr0、Dr1、Dr2、Dr3、Dr6和Dr7就不再为“0”。

其次,寄存器EAX是一个API地址,这个NetWire RAT新变种会在运行时检查地址是否是0CC、3CD和0B0F,因为这是软件断点(Int 3)的操作码。

一旦触发上述条件之一,这个NetWire RAT新变种就会跳转到一个随机地址,以终止运行。然后,一个崩溃小窗口将弹出,如图4所示:


图4.触发反调试

4. 与大多数恶意软件一样,这个NetWire RAT新变种会生成自身的挂起子进程,然后修改其内存和线程上下文数据,如OEP值。

当一切准备就绪后,父进程将恢复子进程并退出。如此一来,这个NetWire RAT新变种的真实代码就将覆盖子进程中的现有代码,然后在子进程中执行,这会使得对它的分析变得异常困难。

NetWire RAT新变种子进程分析

首先,这个NetWire RAT新变种会通过调用API WSAStartup()来初始化几个全局变量和Windows套接字。紧接着,它会解密一些加密的字符串。

接下来,它会查看当前的可执行文件是否位于正确的文件夹(%AppData%\Install)中以及是否具有正确的文件名(Host.exe)。如果不是,它则会将文件重新放置到“%AppData%\Install”并将其重命名为“Host.exe”。

然后,它将运行重新放置的文件并退出当前进程,并再次执行上述所有过程。


图5.重新放置的文件

为了实现持久性,这个NetWire RAT新变种会创建一个注册表项(HKCU\SOFTWARE\NetWire),以实现随受感染系统的重启而自动运行。


图6.恶意软件将自身添加到系统注册表的“自运行”组中

同时被创建的还有一个日志文件夹,被用于存储从受感染系统收集的信息,位于“%AppData%\Logs”。

此外,还会通过调用这个NetWire RAT新变种_beginthreadex()函数来执行一个线程,以实现按键记录功能(记录受害者的所有键盘动作、时间,以及受害者正在键入的内容)。


图7.键盘记录日志文件

与命令和控制(C2)服务器通信

这个NetWire RAT新变种的C2服务器为“gbam0001.duckdns[.]org:3366”,目前处于关闭状态。

分析显示,一旦建立起了通信,C2服务器就会发来一个编号为“9B”的命令,而这个NetWire RAT新变种则会用一个名为“Task_Fun()”的函数来进行处理(将收集的信息上传到C2服务器)。


图8. 将收集的信息上传到C2服务器

通过对数据包的分析,FortiGuard实验室发现这个NetWire RAT新变种从受感染系统中搜集了以下信息:

通过调用API GetUserNameA()或从系统环境变量收集的当前登录用户名;通过调用API GetComputerNameA()获取受害者的计算机名称;通过调用API GetVersionExA()获取 Windows版本信息;受害者正在使用的软件的名称;受感染计算机的当前时间。NetWire RAT新变种还能干什么?

如上所述,函数Task_Fun()被用于处理来自C2服务器的命令,并为一个命令调用一个子过程。

分析显示,它共有80多个子程序。这也就意味着,除了“9B”命令外,它还可以处理来自C2服务器的80多个命令:

命令编号:097h-获取一个时间值,以了解受害者自上次输入以来处于非活动状态的时间;命令编号:09Ch、09Ch、0A3h、0AFh、0B6h、0C3h-执行下载的可执行文件或现有的本地文件,如“cmd.exe”;命令编号:09Fh、0A0h、0A1h、0A2h、0AEh、0E5h、0E7h-退出NetWire RAT进程;关闭C2服务器的套接字;从系统注册表中的Home键读取值;重置或删除指定的注册表项;删除NetWire RAT可执行文件并重新放置其可执行文件;命令编号:09Fh、0A0h、0A1h、0A2h、0AEh、0AFh、0B0h〜0B5h、0B7h、0DFh、0E8h-收集受感染系统的分区和硬盘驱动器信息;获取指定文件夹中的文件信息;通过指定的文件类型获取文件信息;创建指定的目录和文件,将内容写入指定的文件;删除、重新放置指定文件以及其他与文件相关的操作;命令编号:0D4h、0D5h、0D6h、0D7h、0D8h、0D9h-窃取并收集通过不同软件存储在受感染系统中的凭证,如360Chrom、Opera、Mozilla Firefox、Mozilla SeaMonkey、Google Chrome、Comodo Dragon浏览器、YandexBrowser、Brave-Browser、Mozilla Thunderbird、Microsoft Outlook和Pidgin。此外,它还能从历史记录文件夹中读取受害者的浏览器历史记录。命令编号:0CCh、0CEh、0CFh、0D0h-操作其文件夹中的日志文件(“%AppData%\Log”),包括枚举日志文件、获取指定的日志文件属性、读取和删除指定的日志文件。命令编号:0BEh、0C0h、0C1h、0C2h、0E3h-获取在受感染计算机上创建的窗口句柄;通过指定的Windows句柄向窗口发送Windows消息;获取受感染计算机上所有正在运行的进程的信息;使用给定的进程ID终止正在运行的进程;获取TCP或UDP端点信息(TCP或UDP、本地和远程IP地址、端口、状态)以及连接该端点的进程信息(进程名称、进程ID)的列表。命令编号:0Bah、0BCh-收集受感染计算机的基本信息,包括当前用户名、登录会话信息、计算机名、CPU信息、Windows版本、内存状态、网络状态和Windows安装路径。此外,它还能收集PowerShell的安装路径、NetWire RAT可执行文件的完整路径及其Log文件夹的完整路径等。命令编号:0C5h、0C6h、0C7h、0C8h-控制受害者的输入设备,包括键盘和鼠标;通过发送keybd_event和mouse_event,它还可以模拟键盘和鼠标操作。

在完成上述操作后,这个NetWire RAT新变种会将收集到的所有数据上传到C2服务器。

  • 夏虫为何不可以语冰(夏虫不可语冰)
  • 2024-11-06夏虫不可语冰《庄子·外篇·秋水》有:北海若曰:井蛙夏虫语冰不可以语于海者,拘于虚也;夏虫不可以语于冰者,笃于时也;曲士不可以语于道者,束于教也今尔出于崖涘,观于大海,乃知尔丑,尔将可与语大理矣天下之水,莫大于海。
  • 返乡建厂5年后被强拆后续(他家店被农民工强拆)
  • 2024-11-06他家店被农民工强拆看着昔日的好兄弟一副萎靡不振的样子,林天一把将车钥匙扔给他,“算了,看你可怜,让你爽一下,车上慢慢说”谭松明眼睛都亮了,“谢谢林少,你就是我亲哥”林天抬手给了他胸口一拳,笑道,“少给我贫”谭松明嘻嘻哈。
  • 极品飞车17全部车辆位置(车辆位置详解)
  • 2024-11-06车辆位置详解五角星——美系(SRT、福特、谢尔比、雪弗兰、泰斯拉)圆形——德系(保时捷、宝马、奥迪、奔驰)菱形——意系(阿尔法罗密欧、兰博基尼、蓝旗亚、帕加尼、玛莎拉蒂)三角——英法系(迈凯轮、阿斯顿马丁、宾利、。
  • 全力优化开放营商环境(稳步扩大制度型开放)
  • 2024-11-06稳步扩大制度型开放二十大报告再次强调制度型开放,坚定了我国对外开放信念,也为进一步加快全球经济一体化进程注入信心关注二十大系列评论2022年10月13日,智能水平运输机器人在天津港北疆港区C段智能化集装箱码头作业当日,。
  • 17世纪欧洲反封建主义的革命(欧洲的社会运动)
  • 2024-11-06欧洲的社会运动文艺复兴后重新崛起的欧洲商业-军事体系,其巨大的军事力量和商业经济能力,是农业或游牧地区的文明所难以抗衡的美洲印第安人被毁灭和非洲黑人被奴役,就证明了这种力量的巨大破坏性尤其重要的是,这一在雅利安人传。
  • 成均馆大学的明星(来自成均馆大学的五大男神)
  • 2024-11-06来自成均馆大学的五大男神韩国成均馆大学是一所拥有六百多年辉煌历史的知名学府,是韩国乃至全亚洲最顶尖的综合性大学之一不少明星都是来自于这所大学,今天我们来盘点一下来自于成均馆大学的五大男神:裴勇俊、宋仲基、周元、池贤宇、车银优。
  • 考完试家长如何写评语(最简单家长评语示例)
  • 2024-11-06最简单家长评语示例从xxx的卷子上来看,成绩还算得上优秀和上一次相比较,没有退步也没有进步希望孩子继续努力,更上一层楼同时也感谢教师平日对我孩子的培养,但是孩子还是有很多要努力的地方有劳老师以后继续费心教育孩子我们家长。
  • 80年代最红的10位女星(曾红极一时的艳星)
  • 2024-11-06曾红极一时的艳星现在很多人认为,赚钱最快的方法当个名星,所以很多人拼命的想成为一个名星,即使有些人已成为明星了,还是想尽办法去赚钱,不过相对来说明星的赚钱的方式却是很容易的经常他们有时候不用付出多少努力,却也能挣很多。
  • 深圳学区房为什么降价(买学区房这几点最容易被坑)
  • 2024-11-06买学区房这几点最容易被坑问答内容精选至“深圳十三房”微信公众号,请关注公众号进行提问问:请问相同总价的深圳湾学校的学位房和科苑小学的学位房,哪个看涨的多点?男孩子上哪个小学更好?成绩中等走应试路线的女孩子选南外高新初中好还是。
  • 一个标准飞机场多大(一个飞机场大概有多大?)
  • 2024-11-06一个飞机场大概有多大?一个飞机场大概有多大?1、机场面积一般都在20~500公顷通用机场的跑道长2500米左右,大型机场的跑道可超过5000米长如果把候机楼、停机坪、滑行道、油库、维修车间等占地面积加进去,一个小型机场占地。
  • 还是先去日本再说吧(到底去不去日本)
  • 2024-11-06到底去不去日本同事刚刚退休,在家百无聊赖,纠结着要不要去日本生活话还要从同事女儿说起,同事女儿在日本上的研究生,毕业后留在日本工作,正值疫情期间开始上班,居家工作,薪水挺高的日本的疫情过去后,这姑娘整天不是出去旅游。