针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

admin 2024年10月31日12:15:24评论19 views字数 1992阅读6分38秒阅读模式

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

原文首发出处:

https://xz.aliyun.com/t/14473

先知社区 作者:熊猫正正

近日发现一批新的钓鱼攻击活动,黑产团伙直接使用AsyncRAT和XWorm等远控木马黑客工具,对受害者进行远程控制,进行网络诈骗等攻击活动,笔者对这批样本进行详细跟踪分析。

样本分析

1.样本一伪装成Microsoft Edge程序,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

2.编译时间为2024年5月12号,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

3.从网上下载ShellCode代码,并加载到内存中执行,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

4.远程服务器地址和端口为123.99.200.160:6428,下载的文件为160.bin,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

5.下载的shellcode代码,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

6.获取VirtualAlloc函数地址,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

7.分配内存空间,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

8.将shellcode中包含的加密数据拷贝到分配的内存空间,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

9.解密加密的数据,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

10.解密之后的数据,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

11.通过Patch AmsiScanBuffer函数来绕过AMSI内存劫持,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

12.Patch AmsiScanBuffer函数,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

13.Patch之后AmsiScanBuffer函数,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

14.通过Path WldpQueryDynamicCodeTrust等函数绕过WLDP机制,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

15.Patch WldpQueryDynamicCodeTrust函数,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

16.Patch之后WldpQueryDynamicCodeTrust函数,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

17.Patch WldpIsClassInApprovedList函数,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

18.Patch之后WldpIsClassInApprovedList函数,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

19.在内存中加载解密出来的NET程序,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

20.解密出来的NET程序,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

21.此前分析过该家族样本的,基本上一眼就能认出这是AsyncRAT远控,远程IP地址为123.99.200.160,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

22.AsyncRAT远控是一款开源的远控工具,笔者从网上下载到该远控工具,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

23.工具运行之后,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

24.笔者利用该工具生成一个服务端程序,然后反编译服务器程序,可以发现代码结构与上面解密出来的NET程序,基本一致,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

25.样本二的编译时间为2024年5月8号,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

26.样本二主体代码结构与样本一基本一致,从远程服务器上下载ShellCode代码,然后在内存中加载执行,远程服务器地址和端口为154.38.121.174:80,下载的文件为qwe1.bin,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

27.下载的shellcode代码,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

28.获取函数地址,分配相应的内存空间,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

29.与样本一类似,将ShellCode中包含的加密数据拷贝到内存空间,然后解密,解密算法也与样本一类似,应该是同一套框架生成的ShellCode,解密之后的ShellCode,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

30.解密出来的ShellCode执行过程,与样本一中解密出来的ShellCode过程一致,在内存中解密出来的NET程序,编译时间为2024年5月9号,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

31.解密出来的NET程序经过简单的混淆处理,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

32.此前分析过该家族样本的,也可以一眼看出这是XWorm远控木马,动态调试该远控木马版本为XWorm V5.6,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

33.远控服务器IP地址为154.38.121.174,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

34.笔者拿到XWorm 6.5版本的远控工具,运行之后,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

35.生成一个混淆后的服务端程序,与上面解密出来的NET程序,程序的代码结构完全一致,如下所示:

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

可以得出黑客团伙就是使用XWorm 5.6远控工具生成的混淆的木马服务端程序。

威胁情报

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

总结结尾

今年各黑产团伙仍然非常活跃,去年大量使用Gh0st各种变种版本远控受害者主机,被统称为使用“银狐”工具的黑产团伙,之后也曾发现使用AsyncRAT远控,现在开始使用XWorm远控,通过跟踪可以发现黑产团伙仍然在不断更新自己的攻击样本,直接使用一些现有的RAT远控木马,以及免杀加载器等,不断降低自己的攻击成本,以寻求利益的最大化。

安全分析与研究,专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。

针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

王正

笔名:熊猫正正

恶意软件研究员

长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究

原文始发于微信公众号(安全分析与研究):针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月31日12:15:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析https://cn-sec.com/archives/3337018.html

发表评论

匿名网友 填写信息