本文详细描述了一种名为wmRAT的恶意软件样本的行为特征,包括其如何通过sleep函数绕过沙箱检测,创建线程获取敏感信息,使用加密通信与C2服务器交互,以及定期发送心跳包以保持连接。
wmRAT分析
MD5:35639088a2406aa9e22fa8c03e989983
样本分析
多次调用sleep函数绕过沙箱检测。
创建线程获取username computername 磁盘驱动器个数
通过域名microsoft.com获取ip地址
通过c2服务器域名maxdimservice.com获取ip地址85.239.53.31
408460函数获取上线数据包:computername,username,注册表获取的systeminfo ,GetModuleFileNameW获取的样本所在路径,通过||连接起来。
字符串加密密钥0x2d
拼接后的上线数据,为四字节标识码+四字节数据长度+上线数据
之后通过conncet连接c2服务器。服务器挂了,修改host文件,最后一行添加域名和虚拟机IP地址。
开放52529端口
wireshark安装npacp
Python启动TCP服务并监听连接
可以看到上线数据包是经过加密的,跟踪send函数,向上找找到数据加密函数。可以发现408460函数在获取上线包数据后调用4077f0函数发送上线数据包。
408dc0函数:加密数据,加密密钥:0x14
使用microsoft进行网络连接测试,
之后创建两个线程,一个用来接收数据,根据指令执行命令。一共十四种指令
第一次recv接收四个字节的标识,一共14种情况,
通过case 值为0 分析,第二次recv接收数据长度。
之后分配数据长度+1大小的内存,并接收指令数据。
所以数据包的格式为 4字节标识+4字节长度+数据。
另一个线程用来发送心跳包。数据在样本中硬编码。样本连接成功会每隔150.045秒发送心跳包到服务器。
扫一扫
1226
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
