Arechclient2 恶意软件分析（sectopRAT）

概述

Arechclient2，也称为sectopRAT，是一种用 .NET 编写的远程访问木马 (RAT)。该恶意软件使用 calli 混淆器进行了高度混淆，使其分析具有挑战性。尽管尝试使用 calliFixer 进行反混淆，但代码仍然被混淆，但使用 dnSpy 仍然可以读取。

所分析的样本具有以下特点：

文件哈希：EED3542190002FFB5AE2764B3BA7393B

文件大小：768KB

原始文件名：Bluefin.exe

文件类型：.Net

混淆技术：calli obfuscator

互斥名称：49c5e6d7577e447ba2f4d6747f56c473

VT 检测：61/72

文件下载：any.run

静态分析

混淆技术

该恶意软件使用 calli 混淆器进行混淆，并使用 Detect It Easy (DIE) 进行识别。

尝试使用 CalliFixer 对代码进行反混淆失败，如下所示：

提取的字符串

从可执行文件中提取字符串揭示了恶意软件功能的重要指标。 发现的一些关键字符串包括：

• 浏览器数据提取： URL, User, Password0, AccountT, BrowserExtension, AutofillT, Logins, Cookies7, os_crypt, LocalState, encrypted_key

• 系统和硬件信息： HardwareType, OSVersion, Machine, ReleaseID, Language, ScreenSize, TimeZone, IPv4, Monitor

• 已安装的软件和流程： AvailableLanguages, Softwares, Processes, SystemHardwares

• 目标应用和服务： Nord, Open, Proton (VPNs), Steam, Discord, Telegram, FTP, ScanBrowsers, ScanFiles, ScanFTP, ScanWallets, ScanScreen

• 数据泄露和存储： FileLocation, SeenBefore3, FileScannerArgT, OfApplication, Directory, Pattern, Recoursive7

观察到的功能

分析反编译的代码后，我们观察到了几个关键功能：

• 扫描并收集有关已安装的网络浏览器的信息，包括浏览器扩展和存储的凭据。

• 提取 cookie、用户名、密码和自动填充数据。

• 扫描系统以查找已安装的 VPN 服务，例如 NordVPN 和 ProtonVPN。

• 收集系统信息，包括硬件详细信息和操作系统规格。

• 正在寻找已安装的游戏启动器、Telegram 和 Discord 配置。

• 扫描 FTP 连接和存储的凭据。

• 搜索钱包配置，表明对加密货币盗窃有潜在兴趣。

动态分析

在受控环境中执行后，该恶意软件表现出基于网络的行为，连接到远程命令和控制 (C2) 服务器：

• C2服务器IP：91.202.233.18

• 端口：9000

• 端口：15647

下载的文件：

• manifest.json（定义扩展的名称、权限和脚本）

• content.js（键盘记录和数据窃取的核心恶意脚本）

• background.js（绕过安全限制并传输被盗数据）

恶意 Chrome 扩展程序伪装成“Google Docs”

下载的文件是伪装成“Google Docs”的 Google Chrome 扩展程序的一部分。此扩展程序是一种隐秘的数据窃取工具，旨在窃取所有网站上的用户输入。这些文件是从以下 URL 检索到的：

• 下载网址：http://91.202.233[.]18:9000/wbinjget?q=9A7A4DFA51C1DFA51C1DFC689A43860F0BECA70

其功能分为三个关键文件：

• manifest.json

• 声明扩展程序的名称和说明（误导性地声称 Google Docs 离线编辑）

• 授予广泛的权限，包括允许在所有网页上注入脚本

• content.js

• 在每个网页中注入事件监听器

• 监控并捕获所有用户输入字段（文本框、复选框、下拉菜单、按钮、文本区域）

• 将记录的数据（包括用户名、密码、信用卡详细信息和表单数据）连同 URL 一起发送到攻击者的服务器

• background.js

• 充当中间人，绕过浏览器安全策略

• 使用浏览器权限向外部攻击者控制的服务器发出未经授权的 HTTP 请求

• 将窃取的数据中继content.js到远程服务器

已安装 Google Chrome 扩展程序

删除 JavaScript 代码和 Json 文件。

此外，在调试过程中，我们发现该恶意软件连接到一个外部 URL：

• 网址：https://pastebin.com/raw/wikwTRQc

• 沙盒分析：该网址的网页包含相同的IP（91.202.233.18）

进一步的有效载荷分析

在分析过程中，未观察到有其他有效载荷被丢弃或执行。但是，考虑到 RAT 的功能和网络行为，C2 服务器可能会根据受害者的环境动态地传递更多有效载荷。

攻击指标 (IoC)

文件哈希

EED3542190002FFB5AE2764B3BA7393B

C2 服务器

91.202.233.18:9000

91.202.233.18:15647

恶意 URL

http://91.202.233%5B.%5D18/wbinjget?q=9A7A4DFA51C1DFA51C1DFC689A43860F0BECA70

https://pastebin.com/raw/wikwTRQc

Mutex

49c5e6d7577e447ba2f4d6747f56c473

安全隐患

此恶意扩展程序充当协调的数据收集工具，捕获几乎所有用户输入并将其泄露到远程 C2 服务器。误导性的名称、广泛的网络访问权限以及逃避浏览器安全的能力使其成为严重威胁。

建议：

• 阻止到 91.202.233.18:9000 和 91.202.233.18:15647 的网络流量。

• 监控 %AppData%/Local/llg 中是否有可疑文件创建。

• 删除任何未知的 Chrome 扩展程序，尤其是那些伪装成 Google Docs 的扩展程序。

• 使用基于行为的威胁检测来识别可疑活动。

• 限制不受信任的 .NET 应用程序的执行。

该分析强调了混淆的 RAT 和恶意浏览器扩展所带来的不断演变的威胁，强调了增强安全监控和严格浏览器扩展控制的必要性。

原文始发于微信公众号（Ots安全）：Arechclient2 恶意软件分析（sectopRAT）