GitHub钓鱼到VHD诱饵：VenomRAT攻击技术分析

GitHub钓鱼到VHD诱饵：VenomRAT攻击技术分析 概述 本文档详细分析了一种利用VHD诱饵文件传播VenomRAT的攻击技术。攻击者通过GitHub钓鱼手段，使用VHD文件作为诱饵，最终投放VenomRAT远控木马。值得注意的是，攻击者沿用了两年前的通信证书，表明可能与历史攻击活动存在关联。 反病毒引擎检测率分析 VirusTotal检测率 ：仅有2个反病毒引擎报毒 微步检测率 ：仅有1个反病毒引擎报毒 这表明VHD文件格式在当前安全检测中具有较低的检出率，可能是APT组织选择其作为诱饵的原因之一。 VHD文件剖析 VHD(Virtual Hard Disk)是微软开发的虚拟硬盘文件格式： 可包含分区、文件系统及数据 双击即可挂载为虚拟磁盘 可使用winhex等工具静态查看内容 混淆的批处理文件分析 VHD中包含的批处理文件采用了环境变量混淆技术： 文件中嵌入了大量 %XXX% 形式的随机字符串 若系统未定义对应环境变量，这些变量值为空 主要功能： 复制自身到 %userprofile%\dwm.bat 携带两段加密数据载荷： :: 7iTHIG+Dhieuw 开头的字符串 :::ZgB1AG4AYwB0 开头的字符串 加载执行Base64编码的PowerShell脚本 PowerShell脚本分析 解码后的PowerShell脚本主要功能： 文件检查 ：检查用户目录下的dwm.bat文件是否存在 命令执行 ：执行dwm.bat中以 ::: 开头的Base64编码命令 数据解密 ：提取以 :: 开头的加密数据，使用以下算法解密： Base64解码 AES CBC解密 Key(Base64): oytQT1Ao3P9liUUgAbriSi8uiKcBMrAbmQ7Y4vaKaT4= IV(Base64): T5j1ww2O3e9rHSVKIqhUaA== GZip解压缩 反射加载 ：内存加载解密后的载荷文件 反病毒和事件跟踪禁用技术 以 ::: 开头的PowerShell脚本包含： 禁用反病毒扫描 ： 通过绕过AMSI技术实现 涉及函数： GetProcAddress 、 GetModuleHandle 、 AsmIInitializ 目标DLL： amsi.dll 禁用Windows事件跟踪 ： 通过修改 EtwEventWrite 函数内存实现 多段PE文件解密 加密载荷中嵌入了两段PE文件，以"\"符号分割： 第一段PE文件 ： 解密后分析发现实际代码为空 可能是干扰分析或占位用途 第二段PE文件 ： 实际功能木马 功能包括： 创建启动项实现持久化 从资源中解密释放VenomRAT VenomRAT分析 最终载荷为VenomRAT远控木马，版本信息： Venom RAT + HVNC + Stealer + Grabber v6.0.3 资源解密 算法：AES CBC Key(Base64): knP+exeXyzha1TJ3Xdnv4YhVEGlkS3gNUd2+9EcMW8s= IV(Base64): 5ynqj0kvG5aFAhCDs1WpWA== 配置信息解密 使用《NET环境下的多款同源RAT对比》中提到的方法解密： 外联通信通过Paste_ bin配置信息获取地址 历史关联分析 关键发现： 此次攻击使用的通信证书与两年前GitHub项目 VenomRAT-v6.0.3-SOURCE- 中的证书相同 该GitHub项目中的 VenomServer.p12 文件可使用空密码提取证书和私钥 通常攻击者会使用新生成的通信证书，沿用旧证书表明可能存在关联 防御建议 VHD文件处理 ： 禁用自动挂载VHD功能 对收到的VHD文件进行严格检查 PowerShell防护 ： 限制PowerShell脚本执行权限 监控异常PowerShell活动 AMSI保护 ： 确保AMSI功能正常运行 监控AMSI绕过尝试 证书监控 ： 监控异常证书使用情况 对已知恶意证书进行拦截 持久化防护 ： 监控启动项修改 限制用户目录下的可执行文件创建 总结 该攻击活动展示了攻击者如何利用VHD文件低检测率的特性，结合多阶段混淆和加密技术，最终投放VenomRAT远控木马。与历史攻击活动使用相同通信证书的特点，为威胁追踪提供了有价值的情报线索。防御者应关注此类攻击手法，并采取相应的防护措施。