NetSupport RAT远控样本分析技术文档

NetSupport RAT远控样本分析技术文档 1. 概述 NetSupport Manager是一款最初用于远程技术支持的正版软件，具有20年历史。该软件提供以下合法功能： 文件传输 聊天支持 库存管理 远程访问 近年来，威胁行为者将其改造为远程访问木马(RAT)，特别是在2020年COVID-19疫情期间通过大规模网络钓鱼活动传播。 2. 传播机制 NetSupport RAT的主要传播方式包括： 欺诈性软件更新 驱动下载 恶意软件加载器（如GhostPulse） 各种形式的网络钓鱼活动 3. 样本分析 3.1 样本基本信息 初始样本采用Python语言编写 打包成EXE可执行程序 经过多层混淆和加密处理 3.2 反编译过程 对样本进行反编译获取核心结构 提取核心pyc文件 对pyc文件进行反编译获取部分源代码 部分函数反编译失败，存在保护措施 分析python字节码文件获取关键逻辑 3.3 反虚拟机技术 样本采用多种技术检测和对抗虚拟机环境： 3.3.1 主机信息检测 检查主机名 检查系统相关文件 3.3.2 进程检测 检测常见虚拟机进程 3.3.3 文件检测 检查虚拟机特有的文件存在性 3.3.4 注册表检测 检查虚拟机相关的注册表项 3.3.5 MAC地址检测 检查网卡MAC地址是否属于已知虚拟机厂商 3.4 持久化技术 设置自启动注册表项实现持久化 3.5 地理定位过滤 通过IP查询网站获取主机地理位置 排除特定国家的IP地址（避免在特定地区执行） 3.6 自删除功能 执行后删除自身痕迹 3.7 远控下载与执行 从远程服务器下载NetSupport RAT 解密远程服务器URL（样本中包含加密的C2地址） 加载并执行下载的NetSupport RAT 3.8 配置信息 样本中包含解密的配置信息 配置信息可能包含C2地址、执行参数等 4. 防御建议 4.1 检测方面 监控Python打包的EXE文件行为 检测异常注册表修改（特别是自启动项） 监控可疑的网络连接（尤其是到未知IP的下载行为） 4.2 防护方面 限制非必要软件的安装权限 实施严格的网络访问控制 保持系统和安全软件更新 4.3 响应方面 隔离受感染主机 检查持久化机制（注册表、计划任务等） 分析网络流量，识别可能的C2通信 5. 总结 NetSupport RAT案例展示了合法软件被恶意利用的典型模式。攻击者不断更新其技术，包括： 改进的反分析技术 更复杂的传播手段 更隐蔽的持久化方法 安全团队需要持续关注此类威胁，更新检测规则，加强用户教育，特别是防范网络钓鱼攻击。