DarkCloud Stealer多阶段分析与溯源反制技术文档<\/h1>

1. 概述<\/h2>
DarkCloud Stealer是一款由VC6编写的信息窃取恶意软件，采用多阶段反射加载技术绕过杀毒软件检测。本文档详细分析其攻击链、技术实现及有效的溯源反制方法。<\/p>

2. 初始样本分析<\/h2>

2.1 样本特征<\/h3>

文件名伪装：如"新购买订单"等诱导性名称<\/li>
开发平台：.NET WinForms应用程序<\/li>

加载方式：反射加载技术<\/li> <\/ul>

2.2 恶意代码注入点<\/h3>

位于Form1.InitializeComponent<\/code>方法中<\/li>

在窗口初始化阶段插入恶意代码<\/li>
<\/ul>
2.3 反射加载实现<\/h3>
\/\/ 从资源中读取隐写数据<\/span>
<\/span><\/span>string<\/span> resourceName = componentResourceManager.GetString("az"<\/span>); \/\/ 返回"Load"<\/span>
<\/span><\/span>var<\/span> assembly = LateBinding.LateGet(AppDomain.CurrentDomain, null<\/span>, resourceName, ...);
<\/span><\/span>
<\/span><\/span>\/\/ 动态创建实例<\/span>
<\/span><\/span>Type mainFormType = assembly.GetTypes()[0<\/span>]; \/\/ 获取MainForm类<\/span>
<\/span><\/span>object<\/span> instance = Activator.CreateInstance(mainFormType);
<\/span><\/span><\/code><\/pre>2.4 隐写技术<\/h3>

数据隐藏在Bitmap图像资源中<\/li>
自定义提取算法从像素数据中还原PE文件<\/li>
<\/ul>
3. 第二阶段样本分析<\/h2>
3.1 模块特征<\/h3>

高度混淆：包含大量垃圾代码干扰分析<\/li>
功能定位："小马拉大马"式加载器<\/li>
<\/ul>
3.2 加载流程<\/h3>

再次从资源中读取隐写Bitmap<\/li>
对Bitmap数据进行修改处理<\/li>
内存中dump出有效载荷<\/li>
动态解析类和方法名<\/li>
通过反射调用目标方法(FgNZFlgdye<\/code>)<\/li>
<\/ol>
4. 第三阶段样本分析<\/h2>
4.1 反混淆处理<\/h3>

使用de4dot工具进行反混淆<\/li>
方法FgNZFlgdye<\/code>被重命名为smethod_10<\/code><\/li>
<\/ul>
4.2 持久化技术<\/h3>
\/\/ 添加Windows Defender排除项<\/span>
<\/span><\/span>powershell命令添加当前进程到排除列表<\/span>
<\/span><\/span>
<\/span><\/span>\/\/ 文件复制<\/span>
<\/span><\/span>将自身复制到：<\/span>C:\<\/span>Users\<\/span>Administrator\<\/span>AppData\<\/span>Roaming\<\/span>CqzdFdKF.exe
<\/span><\/span>设置文件属性：系统<\/span>+隐藏<\/span>+只读<\/span>
<\/span><\/span>
<\/span><\/span>\/\/ 计划任务持久化<\/span>
<\/span><\/span>通过<\/span>schtasks.exe从<\/span>XML配置文件创建计划任务<\/span>
<\/span><\/span>任务配置：<\/span>
<\/span><\/span>  - 触发器：系统启动时<\/span>
<\/span><\/span>  - 操作：运行持久化后的<\/span>exe
<\/span><\/span>  - 权限：最高权限<\/span>
<\/span><\/span><\/code><\/pre>4.3 进程注入技术<\/h3>

创建挂起进程：CREATE_NO_WINDOW | CREATE_SUSPENDED<\/code><\/li>
经典傀儡进程注入流程：

获取目标进程内存上下文<\/li>
分配内存并写入恶意代码<\/li>
修改入口点<\/li>
恢复线程执行<\/li>
<\/ul>
<\/li>
<\/ol>
5. DarkCloud Stealer本体分析<\/h2>
5.1 基本信息<\/h3>

开发语言：VB6（非VB.NET）<\/li>
功能模块：综合信息窃取器<\/li>
<\/ul>
5.2 数据收集功能<\/h3>
' 环境信息收集
<\/span><\/span><\/span><\/span>外网<\/span>IP获取：通过两个硬编码网站查询<\/span>
<\/span><\/span>数据存储目录：拼接环境变量生成<\/span>
<\/span><\/span>
<\/span><\/span>' 浏览器数据窃取
<\/span><\/span><\/span><\/span>-<\/span> 读取多种浏览器<\/span>(Chrome, Firefox等<\/span>)的：<\/span>
<\/span><\/span>  *<\/span> 保存的密码<\/span>
<\/span><\/span>  *<\/span> Cookie数据<\/span>
<\/span><\/span>  *<\/span> 历史记录<\/span>
<\/span><\/span>  *<\/span> 自动填充数据<\/span>
<\/span><\/span>-<\/span> 依赖<\/span>sqlite.dll读取浏览器数据库<\/span>
<\/span><\/span>
<\/span><\/span>' 其他数据收集
<\/span><\/span><\/span><\/span>-<\/span> 屏幕截图<\/span>
<\/span><\/span>-<\/span> 多种应用程序数据：<\/span>
<\/span><\/span>  *<\/span> 加密货币钱包<\/span>
<\/span><\/span>  *<\/span> FTP客户端配置<\/span>
<\/span><\/span>  *<\/span> 即时通讯软件数据<\/span>
<\/span><\/span>  *<\/span> 电子邮件客户端<\/span>
<\/span><\/span><\/code><\/pre>5.3 数据外传机制<\/h3>
' Telegram Bot API通信
<\/span><\/span><\/span><\/span>硬编码的<\/span>Bot Token和<\/span>User ID
<\/span><\/span>数据传输方式：<\/span>
<\/span><\/span>1. 将窃取数据打包压缩<\/span>
<\/span><\/span>2. 通过<\/span>Telegram Bot API发送给攻击者<\/span>
<\/span><\/span>3. 支持大文件分片传输<\/span>
<\/span><\/span><\/code><\/pre>6. 溯源与反制方法<\/h2>
6.1 攻击者信息获取<\/h3>

从样本中提取的硬编码信息：

Telegram Bot Token<\/li>
攻击者User ID<\/li>
<\/ul>
<\/li>
<\/ul>
6.2 反制技术实现<\/h3>


Bot接管<\/strong>：<\/p>

使用官方Bot API与https:\/\/api.telegram.org\/bot<TOKEN>\/<\/code>交互<\/li>
获取所有聊天记录<\/li>
修改Bot设置<\/li>
<\/ul>
<\/li>

消息重定向<\/strong>：<\/p>

使用开源工具如matka<\/code>(https:\/\/github.com\/0x6rss\/matka)<\/li>
将所有发送给攻击者的消息转发到监控端<\/li>
可向攻击者发送伪造信息<\/li>
<\/ul>
<\/li>

攻击者追踪<\/strong>：<\/p>

通过User ID获取攻击者基本信息<\/li>
监控其Telegram活动模式<\/li>
<\/ul>
<\/li>
<\/ol>
6.3 防御建议<\/h3>


检测层面<\/strong>：<\/p>

监控异常进程创建行为(特别是CREATE_SUSPENDED标志)<\/li>
检测添加Defender排除项的操作<\/li>
警惕计划任务中的可疑XML配置<\/li>
<\/ul>
<\/li>

防护层面<\/strong>：<\/p>

限制PowerShell执行策略<\/li>
监控Telegram API通信<\/li>
定期检查AppData\/Roaming目录异常文件<\/li>
<\/ul>
<\/li>

响应层面<\/strong>：<\/p>

发现感染后立即重置所有保存的密码<\/li>
检查并清除持久化项目<\/li>
监控加密货币钱包活动<\/li>
<\/ul>
<\/li>
<\/ol>
7. 技术总结<\/h2>
DarkCloud Stealer攻击链：<\/p>
初始.NET样本 → 反射加载第二阶段 → 内存提取第三阶段 → 
VB6本体加载 → 信息收集 → Telegram外传
<\/code><\/pre>
关键技术点：<\/p>

多阶段反射加载绕过静态检测<\/li>
多种隐写技术隐藏有效载荷<\/li>
傀儡进程注入执行恶意代码<\/li>
多持久化机制确保存活<\/li>
使用老旧技术(VB6)降低分析效率<\/li>
<\/ol>
反制关键：<\/p>

利用硬编码的Bot Token实现反监控<\/li>
通过攻击者User ID进行追踪<\/li>
破坏攻击者的数据收集通道<\/li>
<\/ol>

DarkCloud Stealer多阶段分析与溯源反制技术文档<\/h1>

1. 概述<\/h2> DarkCloud Stealer是一款由VC6编写的信息窃取恶意软件，采用多阶段反射加载技术绕过杀毒软件检测。本文档详细分析其攻击链、技术实现及有效的溯源反制方法。<\/p>

2. 初始样本分析<\/h2>

3. 第二阶段样本分析<\/h2>

4. 第三阶段样本分析<\/h2>

5. DarkCloud Stealer本体分析<\/h2>

6. 溯源与反制方法<\/h2>

1. 概述<\/h2>
DarkCloud Stealer是一款由VC6编写的信息窃取恶意软件，采用多阶段反射加载技术绕过杀毒软件检测。本文档详细分析其攻击链、技术实现及有效的溯源反制方法。<\/p>