【旧文】浅析_网友说的过火绒的远控

2022-04-25 16:45:45 浏览数 (2)

浅析:网友说的过火绒的远控

【文件名称】:DNF5天号解封教程.exe

【HA256】 :3504ec84a6efb00010064e3abb1d0ae5e38883ce0abbd7c1ad7245eeb3a05bcd

【运行环境】:win7

【远控服务器】:腾讯云——132.232.36.190

【使用工具】:OD WINHEX PEID EXEINFO Malware Defender

今日有网友在群里诶特我说有个远控可以过火绒 火绒查不出来 索性就下载来看看

0x00 上手先查壳然后发现没壳(听说过火绒????)

我寻思第一眼看上去没啥子区别呀

DNF5天号解封教程.exe 样本行为

键盘记录

%!(EXTRA markdown.ResourceType=, string=, string=)

写入文件 C:UsersADMINI~1AppDataLocalTemp\csrss.exe

通过对这个主程序的分析 主要敏感的行为还是只有这一个文件写入的动作 所以我把目光放在了csrss.exe这个被写入的文件

Csrss.exe分析

可以看到作者把他伪装成了一个360安全卫士的隔离区模块

但是具体真是这样吗?

查壳后发现是UPX的(咋干坏事都用UPX呢?)

UPX脱壳方法就不说了 上脱壳机就完事了

GOGOGO GKD!

0x01

Csrss.exe样本行为

获取系统信息

%!(EXTRA markdown.ResourceType=, string=, string=)

设置数据跟踪

创建服务并写入Bat

但是发现了一点问题 这本是一个批处理 但是怎么会有DOS头????还有区段????

接着看

创建服务

创建服务

然后接着程序自动退出!!!

并且删除自身

0x02

Shennong.bat行为分析

当时我看到这个东西的时候我人都傻了 我读书少别骗我 Bat文件有Dos头????

这是我自己弄的一个exe

改成Bat之后一样可以查到编译器等信息

这是一个真Bat

那么具体就看看这个到底做了什么吧!!!

创建服务

跟那个exe是同样的操作

通过抓包知道了这玩意是远控

真就是得不到就远控呗

创建服务就是为了持久性控制受害者电脑呗

这个Bat反正用户关掉就自动重启 关掉就自动重启 持久性的控制

比起远控 我更好奇沙雕网友说的 火绒不检测

运行流程

0x03

杀软免杀测试,毕竟实践出真知!

为了模拟最真实的测试情况,直接运行程序和扫描样本 不提取等操作

  1. 腾讯电脑管家

指定扫描

直接运行

2.360安全卫士

指定位置扫描

直接运行

3.重头戏 火绒安全卫士

指定位置扫描

直接运行

这…沙雕网友。。

0 人点赞