专栏首页Gcow安全团队病毒分析快速入门(二)--实战QuasarRAT

病毒分析快速入门(二)--实战QuasarRAT

概述


小c忙活半天,总算把环境配好。

前期准备完成,便可以着手进行样本分析了。

样本可从app.any.run获取,使用邮箱免费注册后,便可以下载该沙箱的公开样本

小c随便在该沙箱选择了一个样本,下载,准备开搞


动态行为


在样本分析的过程中,首先通过虚拟机,沙箱等运行样本,看样本执行什么样的行为,再根据其行为去分析样本中代码,这样的方式有助于加快分析速度。


01

本地虚拟机

首先通过第一节搭建的分析环境运行样本(最好将虚拟机设置位断网状态),对于此类32位的样本,推荐使用SysTracer进行行为抓取。

运行该程序,选择文件-》创建并跟踪信进程-》选择样本确定

运行后效果如图

可明显看到该样本在C:\Windows\System32\dllcheck 目录下创建了一个dllcheck.exe

再看看进程相关的行为

样本共创建了三个新进程,其中一个是把释放的dllcheck.exe执行起来,其余两个进程均以schtasks开始,小c作为第一次分析样本的小白,不懂啥这是啥意思,便想起大佬说的,遇事不懂,先问度娘

通过搜索引擎可知,该命令可将任何脚本、程序或文档设置在任何时间自动执行起来,恶意代码常通过此命令将自身设置到某个时间段运行,以达到在受害者计算机持久化运行的目的。

在运行框(windows+r)入taskschd.msc,打开任务计划面板查看一下样本是否创建了计划了计划任务

通过面板可看到名为“COM Surrogate”的计划任务,在有任何用户登陆时,将会执行样释放的dllcheck.exe,与抓到行为命令一致。

通过本地沙箱,可看到样本以下信息

  1. 1. 在C:\Windows\System32\dllcheck目录下释放dllcheck.exe
  2. 2. 将释放的dllcheck.exe设置为计划任务,实现持久性

02

外部沙箱

这次选用微步在线沙箱(https://s.threatbook.cn/)运行样本试一下(在以后正式的工作中,最好别将公司安排分析的样本传到外部沙箱。)

通过微步云沙箱,可以直观的看到样本执行流程

再看看沙箱中详细的进程列表

其进程行为与本地虚拟机基本一致,但其比本地虚拟机多了网络行为

同时小c发现微步沙箱和anyrun沙箱均有一个QuasarRAT的标签

再次通过度娘得知,QuasarRAT 是远控木马的名称

总结

通过本地虚拟机,外部沙箱监控到样本相关行为,现在可得出该木马相关信息如下

文件名

Client-built.exe

Md5

d059a264af31c72def4f1ae47898e422

样本家族

QuasarRAT

释放文件

C:\Windows\System32\dllcheck\dllcheck.exe

创建进程

Dllcheck.exe, schtasks.exe

持久化

创建计划任务在有用户登陆的情况下执行dllcheck.exe

网络行为

ip-api.com collinserver.ddns.net

通过动态行为已经可得知样本所属家族 ,在实际静态分析恶意代码之前,可先通过查阅同家族样本相关报告,先熟悉该家族木马,再进行详细分析。

下一节将结束详细的静态分析

本文分享自微信公众号 - Gcow安全团队(Gcow666)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-03-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 野草计划:一千种懒人刷洞 第二篇

    悬剑武器库-野草计划:工欲善其事必先利其器,意在帮助网络安全测试人员在使用工具渗透时,利用最骚的套路,最优解的方式,花最少的时间,合法合规的检测出授权测试的网站...

    Gcow安全团队
  • VulnHub通关日记-Mr-Robot-1-Nmap提权获取Flag

    靶机介绍:根据演练,机器人先生。此VM具有隐藏在不同位置的三个Key。您的目标是找到全部三个。每个Key逐渐难以找到。该级别被认为是初学者-中级。 下载地址:h...

    Gcow安全团队
  • Cobalt Strike|Beacon原理浅析

    Cobalt Strike 作为一种后渗透工具,可以完成侦察、鱼叉式钓鱼、浏览器代理等攻击。上文中我们介绍了Cobalt Strike 分为客户端和服务器两部分...

    Gcow安全团队
  • 细说TCP的MSS选项(2)

    上周因为发烧没办法坚持每“周一”更 —— 再次感叹“每周一更”这个名字,先给大家道声抱歉。

    glinuxer
  • 分类模型的评价指标(三)

    假设我现在有一个二分类任务,是分析100封邮件是否是垃圾邮件,其中不是垃圾邮件有65封,是垃圾邮件有35封.模型最终给邮件的结论只有两个:是垃圾邮件与 不是垃圾...

    用户5745385
  • Android Monkey压力测试介绍

    Monkey 是Android SDK提供的一个命令行工具, 可以简单,方便地运行在任何版本的Android模拟器和实体设备上。 Monkey会发送伪随机的用户...

    测试开发社区
  • C# CsRedis的初探(五)-- Redis常用命令整理(集合类型)

    sadd 命令用来向集合中增加一个或多个元素,如果键不存在则会自动创建。因为在一个集合中不能有相同的元素,所以如果要加入的元素已经存在与集合中...

    Vaccae
  • Head First Python (一

    py3study
  • 关于自然语言处理,数据科学家需要了解的 7 项技术

    现代公司要处理大量的数据。这些数据以不同形式出现,包括文档、电子表格、录音、电子邮件、JSON以及更多形式。这类数据最常用的记录方式之一就是通过文本,这类文本通...

    CDA数据分析师
  • awk开学了

    查找访问ip列表 awk ‘{print $1}’ log_file|sort|uniq 查看ip访问文件总数 awk ‘{++S[$1]} END {for(...

    苦咖啡

扫码关注云+社区

领取腾讯云代金券