前言
在本練習中,我們將對 RemcosRAT.exe 惡意檔案進行靜態和動態分析,透過分析其樣本來了解其行為。這篇文章將說明分析惡意軟體。
⚙️ Lab Environment:
Linux Remnux ( Static Analysis )
Windows 11 ( Dynamic Analysis )
HASH256:
ce39a137b9ff86bf23d7c62480a804e8d25c8b9154e9792b669374ac7f92e192
🔥 Static Analysis 🔥
🛠️ Static Analysis Tools
- file → 檢視文件類型
- md5sum → 產生樣本的雜湊值
- floss → 提取字串
- Virustotal → 查看執行檔
- PEStudio → 提取多種關鍵資訊
1️⃣ File Type
- 檔案的名稱、副檔名皆可以更改,所以需要檢查檔案類型。
2️⃣ Fingerprinting
- Hash 基本上是唯一值,故可以拿來檢驗該檔案是否遭受變更 或者 該檔案為惡意軟體。
3️⃣ Virustotal
- 將提取到的 Hash 值,提交到 Virustotal 查看是否已經有紀錄。
4️⃣ Floss
- 字串的提取可以從樣本中獲取一些有用的字串 ( 命令指令、控制 (C2) IP 、惡意 URL )。
- ❗可能無法完全解碼某些高度混淆的字符串❗
5️⃣ PEStudio
- mscoree.dll 主要用於啟動 .NET 應用程式,負責將 .NET 代碼轉換為機器碼執行。
🔥 Dynamic Analysis 🔥
🛠️ Dynamic Analysis Tools
- Procmon -> 監控時間段的進程
- AutoRuns -> 查看進程
1️⃣ Procmon
- 查看有無錄製到可疑的路徑、檔案行為
- 查找到有對兩個路徑的檔案進行更動 ( tmp 路徑下沒有檔案)
2️⃣ AutoRuns
- 查看有無可疑的路徑、檔案
- 有添加到一個可疑排程
💡 結論
- 該程式會偽裝成無害的檔案誘使受害者點擊。
- 點擊後惡意程式會複製程式移動位置、修改名稱、建立 Task Scheduler ,來保持系統持久存在。
- 建立排程 (
C:\Users\Administrator\AppData\Roaming\SzKneWgZlzw.exe) ( 重新啟動後SzKneWgZlzw.exe開始運作 )。 - 移除 Task Scheduler 、
SzKneWgZlzw.exe、logs.dat。
❓ 遭遇的問題
- 查找
SzKneWgZlzw.exe的時候沒有看見檔案
