登陆 注册

Nanocore RAT恶意软件分析

Lzers 2020-12-03 Nanocore RAT恶意软件分析
黑白网(heibai.org)成立于2014年,多年来以其专业的视角,优质的服务为广大安全技术爱好者提供了目前国内最全的网络安全技术学习资料,普及中国网络安全知识,宣扬正确的黑客极客文化,全方面提高国内安全技术水平。

关于本报告

本报告的目的是提供针对威胁行为者的可操作情报,以及他们用于侦察,交付,利用等的恶意软件或其他工具,以授权安全运营(SecOps)团队快速检测并响应此特定威胁。该信息也旨在使SecOps团队可以利用此报告中的情报,以便为所分析的恶意软件设置预防措施。对于这种恶意软件的受害者,可以使用此分析来了解恶意软件的影响(横向移动,数据泄漏,凭证收集等)。我们还将这些情报分享给社区,以帮助其他研究人员分析同一恶意软件。

MITER ATT&CK®桌子



13指示器映射在上述MITER ATT&CK®数据中。

分析概述

介绍

Rewterz的SOC团队在分析警报(特别是显示“ Trojan.Heuristic检测到”警报的安全控制)期间观察到了恶意软件活动。检测到文件后,该恶意软件文件将转发给Rewterz威胁搜寻小组进行详细分析。

该威胁情报报告基于Rewterz威胁狩猎团队的分析,在该分析中,我们检查了属于一个被称为“ Nanocore.Rat”的家族的恶意软件特定样本的详细信息。

文件识别


属性
文件名opixxxxss.exe
文件类型便携式可执行文件32
文件信息Microsoft Visual Basic v5.0 / v6.0
文件大小100.00 KB(102400字节)
MD5DEE4977684FA55F729571C25C975E10
SHA-12E90900BC501819DE971B5CC16350C54F76E44C3
SHA-256ef0f27aded70c29415263833915d973bfe7c3aa399ba19d44fde195276fc4e8f
病毒总分42/70
混合分析得分风险因素超过51%


分析总结

根据我们的分析,已经发现该程序既不是基于CLI也不基于GUI,它仅在后端运行,并且提示在显示后的一秒钟内消失,因此在执行时几乎看不到。文件使用MSVBVM60.dll及其功能在下面解释。



该程序存在32位版本,并且还会删除名为verdens9.exe的另一个文件,该文件有助于启用远程桌面与其他计算机的公共连接。该木马包含用于响应其C&C服务器的硬编码URL和IP。它删除配置为使用“ RegAsm.exe” Windows进程来启动网络通信和出于相同目的的注册表更改的通信组件。

特点

通过分析发现的特征解释如下:

  • 该文件将在文件夹Protokolch6中创建另一个名为verdens9.exe的文件,该文件夹在C驱动器中已经存在的Users主目录下创建。



  • 该程序还通过使用以下参数“ / create / f / tn” PCI Monitor” / xml“%TEMP%\ tmpBD56.tmp”,还使用RegAsm将任务添加到任务计划程序中,并且还使用了注册表入口。



  • 该程序还使用RegAsm通过在注册表目录中添加注册表来启用远程桌面连接,如以下屏幕快照所示:



依存关系

该木马依赖于MSVBVM60.dll库及其dropper verdens9.exe,并使用RegAsm.exe Windows基于程序的程序,该程序在注册表中添加值以确保其dropper的持久性并执行恶意活动,并且下面说明的流程图也将得到增强愿景。



行为调查

被分析程序的行为解释如下:

在第一次执行opixxxxss.exe之后,屏幕上没有任何显示,只在后台执行,而是删除了名为verdens9.exe的恶意软件,该恶意软件位于C驱动器中用户文件夹下的已创建文件夹Protokolch6中。



删除恶意文件后,它使用RegAsm.exe工具执行恶意任务,该工具用于在注册表中注册值。所有注册表更改都定义如下:

1.该恶意软件通过传递参数“ / create / f / tn” PCI Monitor” / xml“%TEMP%\ tmpBD56.tmp”,使用RegAsm进程将任务添加到任务计划程序中。

2.在将任务添加到任务计划程序后,恶意软件使用RegAsm创建verdens9.exe文件的持久性,并通过在注册表“ HKCU \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \ RUNONCE”中传递以下参数,使其仅运行一次;密钥:“ MISCON”;值:“%USERPROFILE%\ Protokolch6 \ Verdens9.exe”。



3.然后,恶意软件尝试访问软件策略,系统证书策略,与系统语言相关的字符串,TCP连接的Windows服务特权。注册表路径在下面定义,在其中传递参数:


HKCU \ SOFTWARE \ POLICIES \ MICROSOFT \ SYSTEMCERTIFICATES
HKCU \ SOFTWARE \ MICROSOFT \ SYSTEMCERTIFICATES
HKCU \控制面板\国际
HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ TCPIP \ PARAMETERS


下面的屏幕截图显示了RegAsm.exe在注册表中的条目



4.更改注册表后,它将尝试启动与以下URL和IP地址的网络连接:


lws7q.bn.files.1drv.com
richykellyz.ddns.net
185.140.53.196:39791



然而,URL和IP上面的定义并没有发现已知威胁的情报来源恶意的,但我们认为他们是恶意的,因为下面的恶意程序正在使用部分范围待办事项W¯¯ nloads API来检索URL“lws7q.bn.files.1drv的文件。 com”(上面已定义)。



5.还观察到另一个网络活动,该网络活动声明受感染的恶意软件属于Nanocore RAT家族,它正在端口39791的IP 185.140.53.196上发起请求,如下所示:



TCP请求后面的URL是“ meti.duckdns.org ”,表示这是Nanocore RAT恶意软件,URL的IP地址是“ 192.169.69.25”。



6.最后,该恶意软件通过在注册表中为TUserEnabled密钥传递参数“ 1”,从而启用系统中的远程桌面连接。传递密钥的目录为“ HKLM \ SYSTEM \ CONTROLSET001 \ CONTROL \ TERMINAL SERVER”,密钥值为1,表示正确。



结论

根据分析,该特洛伊木马旨在提供远程访问。Rewterz团队持续监控不断发展的高级恶意软件,并开发模式以检测恶意软件在不同播放器上的执行情况。根据该行为,它正在对未知的公共IP地址和URL发起请求,但在分析了整个恶意软件之后,发现该恶意软件属于RAT家族Nanocore,有助于创建出于恶意目的的远程连接。

Nanocore RAT的历史和功能

Nanocore是一个远程访问木马,于2012年首次出现,最初由作者在其网站nanocore.io上以25美元的价格出售,作者以“远程管理工具”的名义出售其工具。该网站吹嘘该软件具有以下功能:

  1. 通过远程桌面,远程网络摄像头和音频提要进行远程监视。

  2. 反向代理连接功能。

  3. 可负担性,价格为25美元。

  4. 插件支持。

  5. 24/7支持。

插件列表非常广泛,下面列出了一些可用的插件:

  1. 监视插件:允许麦克风和摄像头访问。

  2. 工具插件:可以更好地控制受感染的主机。

  3. 安全插件:提供对受感染主机的AV工具和防火墙的访问。

作者泰勒·哈德森(Taylor Huddleson)最终于2016年被捕,2018年他被判处33个月监禁。


生成海报
请发表您的评论
Lzers

Lzers

安全路漫漫,莫愁前方无知己
866文章数 31评论数
请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.