Gh0st远控木马分析与防护指南

一、样本基本信息

1.1 样本标识

文件名: test.exe
MD5: 21a08a30b02b395c375616936e756a1d
解密后DLL文件: dump.bin
DLL MD5: 21bea12a54bc431003ebc3e7b5b7d75a

1.2 伪装特征

使用视频播放器图标进行伪装
初始样本使用UPX加壳

二、技术分析

2.1 加载器分析(test_dump.exe)

2.1.1 初始行为

访问注册表路径: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC

使用花指令干扰分析:

call    _CxxThrowException
mov     eax, next_eip_value
ret

2.1.2 去花指令方法

提供IDC脚本示例:

#include <idc.idc>
static main()
{
    auto head, op, code,i;
    head = NextHead(0x00000000, 0xFFFFFFFF);
    while ( head != BADADDR )
    {
        op = GetMnem(head);
        code = GetOpnd(head,0);
        if(code == "_CxxThrowException")
        {
            for(i = 0; i<5;i++) { PatchByte(head+i, 0x90); }
        }
        if(code == "eax" && op == "mov")
        {
            auto asmCode = GetDisasm(head + 0x5);
            if(asmCode == "retn")
            {
                for(i = 0; i<6;i++) { PatchByte(head+i, 0x90); }
            }
        }
        head = NextHead(head, 0xFFFFFFFF);
    }
}

2.1.3 核心功能

解密内嵌PE数据(dump.bin)
内存加载解密后的DLL
调用DLL导出函数Shellex

2.2 恶意DLL分析(dump.bin)

2.2.1 初始行为

创建互斥体: Global\[module_path]
获取系统时间并写入注册表
解密关键字符串:
- C2地址: "tLPQtLS60L230LW1vaY=" → 23.224.97.119
- 版本号: "tdC2pg==" → 1.0
- 其他加密字符串

2.2.2 持久化机制

注册表启动
服务启动:
- 检测服务是否存在及运行状态
- 创建服务并复制到: %ALLUSERSPROFILE%\Application Data\Storm\update\
- 服务名: "PhxphFVX64.exe"
多种启动方式:
- 命令行参数检测(如"-acsi")
- 开始菜单启动
- 文件绿色启动

2.2.3 反检测机制

检测常见杀软进程

2.2.4 C2通信

解密C2地址: 23.224.97.119
建立连接并等待指令

2.2.5 功能指令集

指令	功能描述
1	记录计算机磁盘和文件信息
A	获取服务状态和配置信息
B	检测指定进程是否运行
C	检测指定窗口是否存在
0x10	屏幕远程控制
0x27	运行指定程序
0x28	结束指定进程
0x29	清除IE信息
0x2A-0x30	窃取多种浏览器数据
0x3F	键盘记录
0x45	实时录音
0x48	获取系统信息
0x5A	显示消息弹窗
0x5D	系统控制(退出/注销/重启)
0x5E	打开驱动服务
0x5F	停止并删除驱动文件
0x60	获取系统日志
0x64	远程控制系统
0x72	下载并执行文件
0x74	关闭进程并删除文件
0x75	设置分辨率
0x76	创建并执行插件
0x7F	打开3389相关服务

三、溯源分析

互斥体命名方式
数据解密算法
行为逻辑与Gh0st远控高度相似

四、防护建议

4.1 检测方法

静态检测:
- 检查UPX加壳特征
- 查找互斥体Global\[module_path]
- 检测注册表路径HKEY_LOCAL_MACHINE\SOFTWARE\ODBC
动态检测:
- 监控%ALLUSERSPROFILE%\Application Data\Storm\update\目录创建
- 检测服务创建行为
- 监控与23.224.97.119的通信

4.2 防护措施

禁用不必要的服务
限制注册表访问权限
监控异常网络连接
定期检查启动项和服务

4.3 清除方法

终止相关进程
删除以下文件:
- %ALLUSERSPROFILE%\Application Data\Storm\update\PhxphFVX64.exe
清理注册表相关项
删除创建的服务

五、总结

该样本是Gh0st远控变种，具有多种持久化方式和丰富控制功能。通过伪装、加密和多种启动方式增强隐蔽性，用户应避免下载不明文件，保持安全软件更新。

Gh0st远控木马分析与防护指南一、样本基本信息 1.1 样本标识文件名 : test.exe MD5 : 21a08a30b02b395c375616936e756a1d 解密后DLL文件 : dump.bin DLL MD5 : 21bea12a54bc431003ebc3e7b5b7d75a 1.2 伪装特征使用视频播放器图标进行伪装初始样本使用UPX加壳二、技术分析 2.1 加载器分析(test_ dump.exe) 2.1.1 初始行为访问注册表路径: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC 使用花指令干扰分析: 2.1.2 去花指令方法提供IDC脚本示例: 2.1.3 核心功能解密内嵌PE数据(dump.bin) 内存加载解密后的DLL 调用DLL导出函数 Shellex 2.2 恶意DLL分析(dump.bin) 2.2.1 初始行为创建互斥体: Global\[module_path] 获取系统时间并写入注册表解密关键字符串: C2地址: "tLPQtLS60L230LW1vaY=" → 23.224.97.119 版本号: "tdC2pg==" → 1.0 其他加密字符串 2.2.2 持久化机制注册表启动服务启动 : 检测服务是否存在及运行状态创建服务并复制到: %ALLUSERSPROFILE%\Application Data\Storm\update\ 服务名: "PhxphFVX64.exe" 多种启动方式 : 命令行参数检测(如"-acsi") 开始菜单启动文件绿色启动 2.2.3 反检测机制检测常见杀软进程 2.2.4 C2通信解密C2地址: 23.224.97.119 建立连接并等待指令 2.2.5 功能指令集 | 指令 | 功能描述 | |------|----------| | 1 | 记录计算机磁盘和文件信息 | | A | 获取服务状态和配置信息 | | B | 检测指定进程是否运行 | | C | 检测指定窗口是否存在 | | 0x10 | 屏幕远程控制 | | 0x27 | 运行指定程序 | | 0x28 | 结束指定进程 | | 0x29 | 清除IE信息 | | 0x2A-0x30 | 窃取多种浏览器数据 | | 0x3F | 键盘记录 | | 0x45 | 实时录音 | | 0x48 | 获取系统信息 | | 0x5A | 显示消息弹窗 | | 0x5D | 系统控制(退出/注销/重启) | | 0x5E | 打开驱动服务 | | 0x5F | 停止并删除驱动文件 | | 0x60 | 获取系统日志 | | 0x64 | 远程控制系统 | | 0x72 | 下载并执行文件 | | 0x74 | 关闭进程并删除文件 | | 0x75 | 设置分辨率 | | 0x76 | 创建并执行插件 | | 0x7F | 打开3389相关服务 | 三、溯源分析互斥体命名方式数据解密算法行为逻辑与Gh0st远控高度相似四、防护建议 4.1 检测方法静态检测 : 检查UPX加壳特征查找互斥体 Global\[module_path] 检测注册表路径 HKEY_LOCAL_MACHINE\SOFTWARE\ODBC 动态检测 : 监控 %ALLUSERSPROFILE%\Application Data\Storm\update\ 目录创建检测服务创建行为监控与23.224.97.119的通信 4.2 防护措施禁用不必要的服务限制注册表访问权限监控异常网络连接定期检查启动项和服务 4.3 清除方法终止相关进程删除以下文件: %ALLUSERSPROFILE%\Application Data\Storm\update\PhxphFVX64.exe 清理注册表相关项删除创建的服务五、总结该样本是Gh0st远控变种，具有多种持久化方式和丰富控制功能。通过伪装、加密和多种启动方式增强隐蔽性，用户应避免下载不明文件，保持安全软件更新。