疑似与高校关联的远控程序分析

事件概述

本次山石情报中心通过智源平台大数据捕获到了疑似与上海某高校安全事件相关的病毒样本，该样本基于.Net平台进行编写，使用多重loader以及多种检测手法规避安全检测。

详细分析

该程序的核心代码将会以反射加载的方式被调用，其中对于核心代码模块的数据，程序使用了异或算法进行加密，加密伪代码如下：

解密之后可以看到核心代码模块使用SmartAssembly对代码进行的混淆。

核心模组中再次加载模块，获取“EkNMG”资源。

该资源块同样为加密数据，使用aes算法加密

IV：1C771ADB1A081DC00E7587D890053D03
KEY：98A7367C6260014E88CA40EBE48E4D5BA713E7F53996FF3DB7AFC9671A19B863

将后续需要使用的数据写入应用程序域属性“jnlCmbqMDCWe”，以供后续执行

规避检测

对进程名称进行检测，排除部分.Net脱壳的软件。

释放所有网络适配器的连接，使目标设备网络中断。

创建互斥量“Ycztsixdmyy”

检测到程序存在调试行为，则通过cmd重新启动进程，并退出当前进程。

检测当前路径是否在“C:windows”

检测程序执行权限是否为管理员。

将自身路径和进程名列入windows defender的排除项，规避windows defender的查杀。

检测到存在异常环境时，通过cmd重新运行程序文件，并退出当前进程。

执行功能

使用模块protobuf-net对数据进行序列化。

获取%TEMP%目录下的临时路径，向该路径写入数据并进行调用。

弹出窗口诱导用户。

将自身进程句柄复制到explorer，以达到占用进程文件的效果。

在规避检测的行为完成后，刷新网络适配器连接。

检测环境语言是否存在列表中，如果存在，则退出程序，

对设备进行截屏，并进行保存

发送设备信息、截图等数据到远端服务器

从以下服务器请求数据

持久化

通过三种方式：

1. Startup启动文件夹

2. 注册表项

   ‍"SoftwareMicrosoftWindowsCurrentVersionRun"

3. 使用以下指令创建计划任务

处置建议

山石网科智源智能安全运营平台（后称“智源”）在检测到此病毒样本触发的威胁日志后，经过引擎研判后触发对应的威胁事件展示在事件清单模块。

智源内置场景分类，可将涉嫌挖矿的威胁事件集中展示在挖矿专项模块。用户可在挖矿转项模块看到关联上述威胁事件的受害资产，以及网络中不同阶段的挖矿受害资产分布情况。资产维度切入后，可查看具体病毒文件的哈希值，CC域名等关键信息，可快速跳转在线溯源在情报中心进行情报查询，为研判提供情报证据。同时提供资产详情信息，包括资产当前CPU利用率、内存占用比、进程账户等关键信息，用户可以直接下发杀毒任务对资产进行处置。

对资产初步处置后，可对相关IP做攻击/受害溯源，还原IP的攻击轨迹，从攻击受害视角做统一的处置。

IOC

MD5：‍

323ac3a13a3ab29af25d81be4736727f

CC：

89.208.107.12

kizivarain.com

原文始发于微信公众号（山石网科安全技术研究院）：疑似与高校关联的远控程序分析