1

事件背景

DCRat（又名 DarkCrystal RAT）是一种恶意远控木马软件，化名为“boldenis44”、“crystalcoder”和 Кодер（“Coder”）的人开发和维护，是用.NET编写的功能齐全的后门软件。在过去的一年中，微步情报局监测到该恶意木马会伪装成正常文件名的方式在微信群中大肆传播，该病毒入侵电脑后，存在收集用户隐私信息、远控用户电脑等危害；同时黑客团伙还会将该病毒伪装成的各类文件（文档、图片、视频等）发送给微信群聊中的用户，并诱导用户打开，随后实施收集信息等恶意行为。该病毒运行后，不仅会窃取用户电脑中的文件，还会收集用户信息如用户名、操作系统版本，记录键盘、麦克风和摄像头数据，还能远程控制受害者终端执行任意操作。

2

工具的识别

DCRat恶意木马软件是一个.NET编译的程序集，利用多线程在被攻击的主机上同时执行其恶意行为。作为RAT恶意软件，它有多种能力来收集数据、窃取信息，甚至执行开发后的有效载荷和插件。

该软件程序采用Controler-TeamServer-Client三端通讯，需要提前准备好一台具有公网IP的服务器，一个鉴权密码用于控制端与服务端鉴权。

Server端：此程序为服务端控制台程序，应部署于您的公网服务器上，运行时按照提示依次输入密码以及您想使用的端口即可。

DCRat控制端：此程序为控制端程序，运行时按照提示输入服务器地址及鉴权密码，其中服务器地址格式为IP:Port,之后按照界面文字图片指示使用即可。

Client35/Client40：此程序为客户端程序，可以在DCRat中生成，可根据系统版本选择合适的客户端版本。

通过审计相关代码，Server端代码中发现该工具的通信方式基于SSL加密通信，导致无法直接通过外部扫描的方式识别Server服务。但在证书中我们找到该工具有效证书的持有者组织名称为DcRat By qwqdanchun，以及证书持有者的组织单位名称：qwqdanchun，相关代码截图如下：

以上特征利用X社区-资产测绘查询分析其证书的颁发者名称为DcRat，证书的使用者名称为：DcRat Server。相关资产测绘查询语法：cert.issuer.org="DcRat By qwqdanchun" and cert.subject=”DcRat Server”结果如下：

通过证书的颁发者单位信息，对证书颁发者名称进行了聚合分析，发现了一些企业及个人用户基于Dcrat的二次开发软件证书信息，如下为最近一年的数据统计：

进一步分析证书指纹信息，得到证书有效的JA3S特征值：bcf3a836c82d12ee988005fb0c011445，以及在威胁搜索中非常有用TLS证书生成的方式，因为威胁参与者将创建不同的证书，但倾向于使用相同的方法来创建所述证书，从而具有相同的 JA4X 指纹 c9ed8d15cf91_7022c563de38_0147df7a0c11。

3

情报拓线

基于证书使用者相关信息以及JA3S和JA4X相关指纹信息，采取聚类的方法分析这批已经命中的DCRat资产，在最近一个月中发现相关资产108条，独立IP数量95个；针对这批独立的95个IP地址进行分析，发现其中6个HFS （网络共享文件服务）的应用，如下图资产：

访问其中的一个HFS文件共享WEB应用，发现其中有公开可下载的可执行文件，相关截图如下：

相关样本文件结合微步-S云沙箱进行样本分析发现文件名shellcode.bin为恶意样本，如下图：

结合X社区-资产测绘全网查询HFS共享文件的服务里包含shellcode.bin的文件数据，并结合微步-S云沙箱判断该样本文件均为恶意样本，X社区-资产测绘语法：body="shellcode.bin" && app="HFS" 均标注该资产为恶意，如下图：

初步分析这批恶意样本所在资产服务的特征为使用HFS共享文件服务且文件中包含shellcode.bin文件、文件大小为2.4 KB、恶意文件的上传时间均在2024.1.14前后。    

结合微步威胁情报查询，这批机器大部分同时也被标注为与银狐相关的黑产团伙的基础设施，如下图：

进一步分析这批黑产团伙的资产数据特征，这批资产除了开放以上WEB服务外还均开放了3389的ms-wbt-server(RDP)及msrpc服务，其中查看相关Banner的信息NetBIOS 域名及DNS 计算机唯一名均为：MK01-C6220II-00，如下图：

根据Banner信息为MK01-C6220II-00，继续拓线发现相关资产303条，全部集中在香港地区且与上面黑灰产团伙资产均属于同一个运营商组织为：香港麦嘉雷尔科技有限公司，统计这批IP资产主要集中在几个IP地址段范围，分析资产测绘历史数据发现属于相同地址段IP地址均部署了相同类型的服务。相关资产测绘查询数据如下图：

综上分析，该银狐工具相关的黑产团伙组织的利用机器特征为：

1. 开放HFS共享文件服务

2. 共享文件样本名称为shellcode.bin、大小为2.4 KB

3. 同时开放3389端口服务，NetBIOS 域名及DNS 计算机名均为：MK01-C6220II-00且该团伙未进行样本利用机器资产特征为：3389服务端口信息NetBIOS 域名及DNS 计算机名均为：MK01-C6220II-00。

4

总结

本文通过对恶意软件工具DCRat的识别分析，从源代码分析工具远控Sever端使用的证书颁发者以及使用者相关信息，结合暴露在公网资产信息以及样本投入微步-S云沙箱和威胁情报数据，发现了该黑灰产团伙组织的相关资产特征及基础设施。

这个分析案例，充分将资产测绘、S云沙箱和威胁情报数据进行了联动，从多个维度来对拓线的资产进行佐证，S云沙箱说明同一个样本、威胁情报说明是同一类团伙、资产测绘说明是同一种工具，进一步来掌握该团伙的特征，就可以定期进行拉取数据碰撞，动态获取最新的资产信息并及时覆盖，从而更快地获取威胁情报数据。

附录-IOC

• 43.129.31.231
• 154.55.172.108
• 154.55.172.101
• 154.55.172.106
• 101.43.228.101
• 42.51.42.55
• 206.238.114.8
• 8b31cb07a0c24edab6b92e55382b7dad3739a44e4afe36a1902576df9db95f2c

网安人不容错过的年度盛会——CSOP 2024 · 北京站，倒计时3天！

- END -

原文始发于微信公众号（微步在线研究响应中心）：黑产工具DCRat深入溯源