某黑产最新远控服务端加载器详细分析
字数 1179 2025-08-24 07:48:10

某黑产最新远控服务端加载器技术分析报告

1. 样本概述

  • 编译时间:2024年8月14日
  • 样本类型:远控服务端加载器
  • 检测率:较低(威胁情报沙箱平台检测)
  • 攻击方式:疑似通过钓鱼攻击传播

2. 权限提升机制

样本首先检查当前进程是否具有管理员权限:

if (!IsUserAnAdmin()) {
    // 以管理员权限重新启动自身
    ShellExecute(NULL, "runas", szPath, NULL, NULL, SW_SHOWNORMAL);
    ExitProcess(0);
}

3. 网络通信模块

3.1 远程服务器连接

  • 服务器URL:未在报告中明确显示(可能已隐去)
  • 通信IP:8.218.141.225

3.2 数据下载与解密

  1. 从远程服务器下载加密数据
  2. 使用异或算法解密数据:
void XOR_Decrypt(BYTE* data, DWORD dataSize, BYTE key) {
    for (DWORD i = 0; i < dataSize; i++) {
        data[i] ^= key;
    }
}

4. 内存加载技术

样本采用无文件攻击技术,直接在内存中加载恶意代码:

  1. 分配内存空间:VirtualAlloc(NULL, payloadSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE)
  2. 拷贝解密后的Payload到内存
  3. 跳转执行内存中的Payload

5. 反检测与持久化技术

5.1 反调试技术

if (IsDebuggerPresent()) {
    ExitProcess(0);
}

5.2 防火墙规则篡改

通过COM组件修改系统防火墙规则:

INetFwPolicy2* fwPolicy;
CoCreateInstance(__uuidof(NetFwPolicy2), NULL, CLSCTX_INPROC_SERVER, __uuidof(INetFwPolicy2), (void**)&fwPolicy);

// 添加出站规则阻止安全软件云查杀
fwPolicy->Rules->Add(blockRule);

5.3 安全软件进程检测

专门检测360相关进程:

BOOL Check360Process() {
    const char* processes[] = {"360sd.exe", "360tray.exe", "360rp.exe"};
    for (int i = 0; i < 3; i++) {
        if (FindProcess(processes[i])) {
            return TRUE;
        }
    }
    return FALSE;
}

5.4 持久化技术

  1. 服务创建

    • 服务名称:未明确显示
    • 启动程序:StarRail.exe

  2. 注册表修改

    • 永久禁用UAC功能:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
EnableLUA = 0

6. 白加黑技术利用

样本使用合法签名文件加载恶意DLL:

  1. 合法可执行文件加载恶意DLL(StarRailBase.dat)
  2. 调用恶意DLL的导出函数:LogInit

7. ShellCode执行流程

  1. 分配内存空间
  2. 读取StarRailBase.dat加密数据到内存
  3. 去掉头部几个字节后拷贝ShellCode到新分配的内存
  4. 执行ShellCode
  5. ShellCode内部再次解密最终Payload

8. 最终Payload分析

  • 加壳方式:UPX加壳
  • 脱壳后特征
    • 包含远控服务端功能
    • 具有多个导出函数
    • 包含与C2服务器通信模块

9. 反钩子技术

映射ntdll.dll的.text段以解除安全软件设置的挂钩:

HMODULE hNtdll = GetModuleHandle("ntdll.dll");
PVOID pTextSection = GetSectionAddress(hNtdll, ".text");
MapCleanCopy(pTextSection);

10. 防御建议

  1. 企业防护

    • 监控异常进程创建行为
    • 拦截可疑的内存分配与执行操作
    • 加强对COM组件调用的监控

  2. 终端防护

    • 保持安全软件更新
    • 启用行为检测功能
    • 监控防火墙规则异常修改

  3. 网络防护

    • 拦截与已知C2服务器(8.218.141.225)的通信
    • 监控异常URL访问行为

  4. 系统加固

    • 保持UAC启用状态
    • 限制服务创建权限
    • 定期审计系统注册表关键项

附录:技术指标(IOCs)

  • C2服务器IP:8.218.141.225
  • 相关文件
    • StarRail.exe
    • StarRailBase.dat
  • 注册表项
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
某黑产最新远控服务端加载器技术分析报告 1. 样本概述 编译时间 :2024年8月14日 样本类型 :远控服务端加载器 检测率 :较低(威胁情报沙箱平台检测) 攻击方式 :疑似通过钓鱼攻击传播 2. 权限提升机制 样本首先检查当前进程是否具有管理员权限: 3. 网络通信模块 3.1 远程服务器连接 服务器URL :未在报告中明确显示(可能已隐去) 通信IP :8.218.141.225 3.2 数据下载与解密 从远程服务器下载加密数据 使用异或算法解密数据: 4. 内存加载技术 样本采用无文件攻击技术,直接在内存中加载恶意代码: 分配内存空间: VirtualAlloc(NULL, payloadSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE) 拷贝解密后的Payload到内存 跳转执行内存中的Payload 5. 反检测与持久化技术 5.1 反调试技术 5.2 防火墙规则篡改 通过COM组件修改系统防火墙规则: 5.3 安全软件进程检测 专门检测360相关进程: 5.4 持久化技术 服务创建 : 服务名称:未明确显示 启动程序:StarRail.exe 注册表修改 : 永久禁用UAC功能: 6. 白加黑技术利用 样本使用合法签名文件加载恶意DLL: 合法可执行文件加载恶意DLL(StarRailBase.dat) 调用恶意DLL的导出函数: LogInit 7. ShellCode执行流程 分配内存空间 读取StarRailBase.dat加密数据到内存 去掉头部几个字节后拷贝ShellCode到新分配的内存 执行ShellCode ShellCode内部再次解密最终Payload 8. 最终Payload分析 加壳方式 :UPX加壳 脱壳后特征 : 包含远控服务端功能 具有多个导出函数 包含与C2服务器通信模块 9. 反钩子技术 映射ntdll.dll的.text段以解除安全软件设置的挂钩: 10. 防御建议 企业防护 : 监控异常进程创建行为 拦截可疑的内存分配与执行操作 加强对COM组件调用的监控 终端防护 : 保持安全软件更新 启用行为检测功能 监控防火墙规则异常修改 网络防护 : 拦截与已知C2服务器(8.218.141.225)的通信 监控异常URL访问行为 系统加固 : 保持UAC启用状态 限制服务创建权限 定期审计系统注册表关键项 附录:技术指标(IOCs) C2服务器IP :8.218.141.225 相关文件 : StarRail.exe StarRailBase.dat 注册表项 : HKEY_ LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA