Dark Crystal RAT的新变种分析

FireEye Mandiant威胁情报团队通过跟踪网络攻击者及其使用的恶意软件发现了一种新型C＃变种Dark Crystal RAT（DCRat）。目前，研究人员已经进行了沙盒测试，并对Dark Crystal RAT进行了反向工程以审查其功能和通信协议。通过发布此文，研究人员旨在帮助安全工作人员寻找Dark Crystal RAT的攻击迹象和其他明显迹象，并协助.NET恶意软件新手或遇到该样本的未来变种的其他恶意软件研究人员。

Dark Crystal RAT的发现过程

威胁情报小组为FLARE提供了一个EXE示例，该示例被认为包含Dark Crystal RAT，并且MD5哈希为b478d340a787b85e086cc951d0696cb1。通过沙盒测试，研究人员发现该示例生成了两个可执行文件，奇热而其中一个可执行文件又生成了三个可执行文件。图1显示了通过沙箱测试发现的恶意可执行文件之间的关系。

研究人员开始分析的第一个示例最终产生了五个可执行文件

有了沙盒测试结果，研究人员的下一步就是对每个可执行文件进行分类分析。研究人员发现原始样本和mnb.exe是一个删除程序，dal.exe是清除删除的文件的清理实用程序，daaca.exe和fsdffc.exe是Plurox的变体。然后，研究人员开始分析最终删除的样本dfsds.exe。研究人员在同一样本中发现@James_inthe_box的简短公开报告，将其标识为DCRat以及RAT和凭据窃取程序。研究人员还找到了包含相同样本的公共沙箱运行。其他公开报告描述了DCRat，但实际上分析了初始样本中与daca.exe捆绑在一起的daaca.exe Plurox组件。

由于dfsds.exe是缺少详细公开报告的RAT，研究人员决定进行更深入的分析。

初步分析

离开沙箱分析环境后，研究人员对dfsds.exe进行了静态分析。研究人员选择使用CFF Explorer开始静态分析，CFF Explorer是一个很好的工具，用于打开PE文件并将文件的内容分成易于查看的形式。如图2所示，在CFF Explorer中查看dfsds.exe后，该实用程序向研究人员表明它是.NET可执行文件。这意味着研究人员可以采用与本机C或C ++示例不同的方法来进行分析。否则，研究人员可能会用来缩小本机样本功能的技术（例如查看其导入的DLL，以及使用的DLL中的功能）对该.NET样本没有产生有用的结果。如图3所示，dfsds.exe仅从mscoree.dll导入函数_CorExeMain。研究人员本可以在IDA Pro中打开dfsds.exe，但是IDA Pro通常不是分析.NET样本的最有效方法。实际上，免费版本的IDA Pro无法处理.NET公共语言基础结构（CLI）中间代码。

CFF Explorer显示dfsds.exe是一个.NET可执行文件。

dfsds.exe的导入表没有用，因为它仅包含一个函数。

研究人员没有在dfsds.exe上使用像IDA Pro这样的反汇编程序，而是使用了.NET反编译器。幸运的是，对于逆向工程师来说，反编译器可以在更高的级别上运行，并且通常会产生与原始C＃代码非常接近的结果。 dnSpy是一个很棒的.NET反编译器。 dnSpy的界面在Assembly Explorer中显示示例名称空间和类的层次结构，并在右侧显示所选类的代码。打开dfsds.exe时，dnSpy会告诉研究人员，该示例在链接时的原始名称为DCRatBuild.exe，其入口点为

dnSpy可以帮助研究人员找到样本的入口点

 

dnSpy将Main方法反编译为类似C＃的代码

研究人员转到了从入口点方法调用的SchemaServerManager.Main方法，观察到它使用不同的整数参数多次调用ExporterServerManager.InstantiateIndexer，如图6所示。研究人员通过浏览ExporterServerManager.InstantiateIndexer方法，发现它是一个巨大的switch语句，具有许多goto语句和标签；图7显示摘录。这看起来不像典型的dnSpy输出，因为dnSpy经常重建原始C＃代码的近似值，尽管缺少注释和局部变量名。这种代码结构加上代码引用CipherMode.CBC常量的事实，使研究人员相信ExporterServerManager.InstantiateIndexer可能是解密或反混淆例程。因此，dfsds.exe可能被混淆。幸运的是，.NET开发人员经常使用通过自动化方式可逆的混淆工具。

SchemaServerManager.Main多次调用ExporterServerManager.InstantiateIndexer

ExporterServerManager.InstantiateIndexer看起来像是一个反混淆例程

反混淆

De4dot是.NET的反混淆器，它知道如何撤销许多类型的混淆。在dfsds.exe（图8）上运行de4dot -d（用于检测）通知研究人员使用.NET Reactor对其进行反混淆处理。

dfsds.exe被.NET Reactor混淆了

在确认d