奇安信攻防社区-远程访问木马Cybergate RAT的样本分析

远程访问木马Cybergate RAT的样本分析

前言 CyberGate 是一种远程访问木马 (RAT)，允许攻击者未经授权访问受害者的系统。攻击者可以从世界任何地方远程连接到受感染的系统。恶意软件作者通常使用此程序窃取密码、文件等私人信息。它...

前言
==

CyberGate 是一种远程访问木马 (RAT)，允许攻击者未经授权访问受害者的系统。攻击者可以从世界任何地方远程连接到受感染的系统。恶意软件作者通常使用此程序窃取密码、文件等私人信息。它还可能用于在受感染的系统上安装恶意软件。

IOC
===

| Hash | Value |
|---|---|
| SHA1 | 83ebbf632e25dbe69b060d190a42a5125ffe3902 |
| MD5 | 0ee2f7d6a851faf44bf235186be91a19 |
| SHA256 | b64c40843b011d715c431b761680e8565383ac702f5ed80492fb30bd6aa33929 |

unpame链接（dump文件下载地址）：<https://www.unpac.me/results/7ec3268f-b1ed-49af-a8ff-218513c127db/>

DIE静态分析
=======

分析第一步，借助PE查询工具，这里用的是DIE：

![image-20240809140658291](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-b09f51a3d6607e2375465ae0cfcd8e12e59591dc.png)

32位程序，可以看到加了UPX壳（这一类壳最简单，直接脱就可以）。语言用的Delphi。

![image-20240807103512894](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-a320c34a7d89b402c792b6441d68b76b0e676b54.png)

查看节表也可以发现，没有被魔改过，那就直接UPX -d

![image-20240809140749979](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-75ca9127ff9a526454475ad97373697e1eb24ab6.png)

脱完壳的文件会直接覆盖掉原文件，DIE继续深入分析

查看信息熵，信息熵可以判断该恶意程序是否有被加壳混淆，或者是在内存中载入了一些有效负荷。

![image-20240807103822341](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-e3f698f58177aee1b1d6ad27a2a485fd927a3a7b.png)

加了壳的，准确来说是.rsrc节被加壳混淆了；图表上具有高而平坦的熵值区域，说明很有可能该恶意软件具有注入的行为，即注入了代码到内存中。

可以查看导入表，再次肯定这一推测：

![image-20240807104102308](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-e1d8cf1df8a893089a25996f69a1cf711caf6296.png)

发现函数 `VirtualAlloc` ，该函数是合法的用于分配内存的函数，但是恶意软件经常用它来进行一些注入行为。在地址空间中分配一块内存，将恶意代码注入其中并执行。

字符串方面查看了，但是没有什么可疑信息。

沙箱大致行为
======

用沙箱查看一下大致的流程，仅作为参考。（高级分析要收费，普通用户的随便看看）

![image-20240807104631360](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-f2b5e9e2afae80fdcfcace84ec0fc01680c0816e.png)

主进程释放了俩个文件，推测其一就是进程注入的恶意代码。

![image-20240807104739664](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-32f1a6857a327573029d711a6d7ce0a1e463d7d1.png)

可以看到特别多的网络连接，充分说明了CyberGate作为一个远程访问木马的作用。

![image-20240807104851590](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-b27e040d60cfd467218a8ccb4728a1d799942507.png)

其它没有什么了，还是得手动分析。

IDA初步分析
=======

IDA配置
-----

语言用的是Delphi，IDA可以做些修改

禁用分析：

![image-20240809140822420](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-03e45bc19bc0b536ee76120ed13291bb563aa56c.png)

Option -&gt; Compiler options

![image-20240807105927181](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-de95c90435fa0172b7b5c1d19ca7eff222e7b439.png)

Options -&gt; general -&gt; Analysis

![image-20240807110006849](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-a530ecf2fd4f0ee822fc603bf3cd868a846dd4fe.png)

点击OK，可以开始分析了

创建互斥锁
-----

start函数开始先用`CreateMutexA`创建了俩个互斥锁：

![image-20240807110531259](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-b262af5633cae4d0db3e4fa12862508ff1630836.png)

![image-20240807110621781](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-1f67e8b4dd20e77a6efd682d78e9b1a482f358a8.png)

分别是 `"_x_X_UPDATE_X_x_"` 和 `"_x_X_PASSWORDLIST_X_x_"` , 用`GetLastError`获取错误码，与0xB7比较。

第一处互斥锁如果存在，它会关闭互斥句柄并会休眠12秒，不存在的话就直接关闭互斥句柄。

一般情况下，互斥锁都不会存在，也就是这里不会进入if判断，往下走：

![image-20240808161803440](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-ac77f878ceec26e3e4cb8f978078295fc9c067e6.png)

else中又是互斥锁，不用理会，继续向下

![image-20240808162136771](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-78ae52cfe6d9817ab614a1be333a743c0b4fe049.png)

创建文件
----

在 `sub_40B93C`中的`sub_405D70` 发现了`CreateFileA`函数：

![image-20240808162252815](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-a71fbe0a812603e3873b43cf637f14b0b564951f.png)

在这里创建了一个文件并写入数据，字符串str\_XX**XX**XX\_txt，实际上就是XX--XX--XX.txt。这个正是我们在沙箱中观察到的释放文件。

注入技术
----

继续往下，在函数`sub_40B7FC`中发现了关键操作

![image-20240808162456008](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-7a3ed70837f3c2bdcaf715a81e337566ef85f578.png)

先是通过`FindWindowA`函数尝试查找**Shell\_TrayWnd**窗口，后检索其进程ID，如果没有找到的话就会创建一个名为 explorer.exe的新进程，然后使用 **ProcessInformation**、**hProcess** 作为参数调用`sub_4040F4`。

进入函数`sub_4040F4`：

![image-20240808162905286](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-9f2f8a26f163ee6521b459b416cd19c1b07d14d3.png)

无疑，发现了`VirtualAlloc`函数，恶意软件惯用的伎俩，通过该函数分配内存，之后`WriteProcessMemory`写入恶意代码并执行，依次排查下面的函数，最终在`sub_4038AC`中找到了执行代码的函数。

![image-20240808163057401](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-10064ff8d396d4604b9340457377a70b53c9505b.png)

通过函数`CreateRemoteThread`创建一个在另一个进程中的新线程来执行恶意代码。

提取二阶段
=====

![image-20240808163630971](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-10d26ca624f4f7b6b4f4fcb8b3d27527789229ed.png)

要想提取出有效负荷，就需要先过掉前面的互斥锁。我先是尝试了在`GetLastError`上设置了断点，但是，实际上发现，互斥锁根本就不会触发。那么直接`bp VirtualAlloc`

之后程序会陷入异常。仔细检查后发现问题出现在中间的一个call函数上，

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-1080efc3d20c6760bbd77da81c140af5f837af0a.png)

IDA反编译后会报错：

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-446ae39531d10fc57f43f2e37779f121683e280d.png)

从汇编上看是这样的：

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-8caa0e29873c05bb5f71de8be9c98bcbb93a2115.png)

会一直call一个函数，然后cmp比较不符合就exit了。符合也是一直向下。不太想深入去调它，做了一个比较暴力的决定，直接nop掉了该函数，（不清楚后面会不会有影响）

在xdbg中nop掉之后，就可以F9运行了，断点会命中`VirtualAlloc`

在这里用硬件断点可以提取出内存中的恶意代码，具体如何操作，可以查看我近几篇文章。

断点命中后，Ctrl+F9得到函数的返回值，即分配内存区域的基地址，跳转到内存中，对第一个字节下硬件断点。

~接着F9 Ctrl+F9继续跑，慢慢跑，好像会再断俩次在`VirtualAlloc`上，最终，可以得到如下内存区：~

上面说错了，这样dump出去的文件只有几kb大小，在IDA分析的时候忽略了。这次的分配内存和之前的不同，之前是只执行一个`VirtualAlloc`，该恶意软件是循环多次分配内存，直到满了才结束

![image-20240808170701485](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-805223c5aa043e3f79f8e5cfe540502630a7dc46.png)

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-1cc404cf48971cfa424de7759a09675490f71d95.png)  
这里折腾了一会，还是有点残缺，因为dump出来的文件也是带壳的，upx没有魔改但是还是会报错。应该PE结构也被损坏了。

有个思路是通过写条件断点来自动化执行的，但是能力有待提高，最后还是选择使用沙箱dump出的文件。

第二阶段分析
======

使用unpacme可以dump出三个文件

![image-20240809140127783](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-5549a843bf195c803fcf45d7a3b6960d0e818702.png)

第一个样本
-----

![image-20240809141207854](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-10affde3ceb2b1a2855489288b133ef3706f21d2.png)

是一个Delphi编写的dll文件。

### IDA分析

入口点：

![image-20240809141349310](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-fcc289bf434feafb63241d629aff5135c8e9a93a.png)

没有什么值得留意的。查看导入表

有一个`StartHttpProxy`值得注意，前言说过这是一个远程访问木马。

### StartHttpProxy

#### 逃避防火墙

![image-20240809141559644](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-f73e0c11f34265d958d4732f38b3bc2464c4fde2.png)

函数`sub_4302E4`接收的参数1字符串代表的是 **'Windows Firewall Update'**，说明这里可能进行了和防火墙相关的操作。

![image-20240809141925033](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-19ec5e831b6ff3c8620045c545a26574b956a1ec.png)

进入到该函数中：

![image-20240809141958246](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-0a08e4ba5328bb6bc66b8ca15e599204bc11c709.png)

该恶意软件使用`Registry::TRegistry`类来操作注册表，完整的路径下来是：**SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List**，恶意软件会尝试打开该路径，如果不存在就创建它。

之后`LStrCat`可知将字符串拼接起来：将v2和`':*:Enabled:'`和`'Windows Firewall Update'`拼接起来给v7

![image-20240809142718490](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-1804c9612a4bc58de8cf2fa8e406eb7b03d778bc.png)

之后将拼接起来的v7写入上面的注册表中，并以**System\_\_AnsiString**作为值名称。

“Windows Firewall Update”应用程序已添加到授权应用程序列表中。“\*:Enabled:”部分通常表示已为该应用程序启用所有端口和协议，可能允许其通过防火墙自由通信。

这意味着恶意软件可能以“Windows Firewall Update”的名称运行，以逃避防火墙。

#### 启动HTTP代理

![image-20240809143217873](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-6eca469d9ec586ed307cc833645b28639d07c9a2.png)

在设置完防火墙之后，`sub_430214` 初始化了一个`TIdTCPServer`对象，表明了这是一个TCP服务器。

#### 创建互斥锁

![image-20240809143418928](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-83d137e76ead77125b63825e9ab86f19891c6dec.png)

![image-20240809143428559](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-1dbb0186575746073507f90a961b496bff289d4d.png)

### GetChromePass

这个导出函数看名字就和Chrome有关：

![image-20240809143814220](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-ca7415a835f00c32d15413e2b52d6432ef7ae573.png)

定位到函数 `sub_420C04`

![image-20240809145720432](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-005521d5f8a8af6e21259976d4b9db0a8df900b3.png)

**'Local AppData'**作为参数，分析`sub_41E4F8`

![image-20240809145842478](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-7f575931a3aa28c8de0ef59ffe81db55ea2c231b.png)

恶意软件将字符串**“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders”**分配给v8，并将字符串 **Local AppData** 分配给v7。

![image-20240809145957094](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-6b17346bb8d70084fe9d09e114fe758a37badf82.png)

在这里，从给定项 (Local AppData) 注册表 (SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders) 下的 Windows 注册表中检索特定值。

将文件从**“\\Local AppData\\Google\\Chrome\\User Data\\Default\\Web Data”**复制到`.tmp`文件夹

打开名为**“\\x0FTSQLiteDatabase”**的 SQLite 数据库

循环遍历数据库查询结果，然后检索并处理password\_value、username\_value、origin\_url。

使用`CryptUnprotectData`解密数据 (pDataIn)并将其存储在 pDataOut 中

### Mozilla3\_5Password

获取获取 Mozilla 的个人凭证。

![image-20240809150418714](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-8aa53bf472e25f5ff9a4a6154bb6131ee58012e6.png)

对user和passwd解密：

![image-20240809150616673](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-7e697f11edf1f8bd0df9caef88fb5e285bad8710.png)

第二个样本
-----

该样本同初始文件一样。

第三个样本
-----

![image-20240809150858346](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-36395edea435a9805d105179e339a53584ff6cd1.png)

![image-20240809151145075](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-fc93193be4f45c0cded00cf5e7aac13f19372453.png)

该dll没有导出函数，只有一个入口点：

### 实现持久性

![image-20240809151339006](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-2ae578ddc254ad80b5d4605f7327430e331042d7.png)

查看字符串发现很多关于注册表的操作。

**Software\\Microsoft\\Windows\\CurrentVersion\\Run**用于在用户登录时自启动的操作，**\\Policies\\Explorer\\Run**也是用于配置系统启动时的程序，不过它由系统策略控制，用于在特定情况下强制启动。

### 进程注入

![image-20240809151929652](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-bb0e99b53edeccf849c9dc94020129024f30420d.png)

创建进程和获取进程ID

![image-20240809152058057](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-3de5f7327e772004daec6d26ffbfe783cf87b62d.png)

然后它使用`LookupPrivilegeValueA`，**“SeDebugPrivilege”**

恶意软件使用 **SeDebugPrivilege** 获取访问权限，以调试和调整系统上任何用户拥有的进程的内存

### 检查Windows版本

在`sub_14043A04`函数中：

![11](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2024/08/attach-6f757558b848d79834e0c9ae1f0f1c586e1165c3.png)

恶意软件通过检查`dwMinorVersion` 来检查 Windows 版本

如果它等于 1，则表示 Windows 版本是：

**Windows NT 3.1**或**Windows XP**或**Windows 7**或**Windows Server 2008 R2**

发表于 2024-09-03 09:00:01
阅读 ( 16904 )
分类：漏洞分析

远程访问木马Cybergate RAT的样本分析

0 条评论