DarkCrystal木马投毒分析技术文档

DarkCrystal木马投毒分析技术文档 1. 样本概述 本次分析的样本为DarkCrystal RAT（远程访问木马），攻击者使用了多种高级技术手段进行投毒和隐藏。 初始样本信息 文件名：Solara.exe 伪装身份：Solara脚本编辑器 实际性质：.NET dropper（投放器） 2. 样本投放机制 2.1 初始投放文件 dropper会根据硬编码规则释放四个文件到指定目录并运行： | 文件名 | 功能描述 | |--------|----------| | deldef.exe | 执行硬编码的powershell命令 | | Solara.exe | 合法的Solara安装程序（用于伪装） | | main.exe | WinRAR自解压程序，释放恶意文件 | | Loader.exe | 远程下载r77rootkit | 3. 各组件详细分析 3.1 deldef.exe 技术实现：使用 PS2EXE 将PowerShell命令转为.NET程序 恶意功能： 关闭并禁用Windows Defender 关闭UAC（用户账户控制） 3.2 Loader.exe 混淆方式：使用.NET Reactor高度混淆 反混淆工具： NETReactorSlayer 功能： 从GitHub下载恶意文件 保存在用户临时目录并运行 下载的Install.exe为 r77-rootkit r77-rootkit特性： 反射性DLL注入 Hook关键NT函数 实现功能： 隐藏进程 隐藏文件/目录 隐藏注册表项 3.3 main.exe 性质：WinRAR自解压程序（也是dropper） 行为： 释放文件到目录： C:\$77Container\into 运行加密的VBE脚本： QGprn9qddWdIFanzSGPE1hxX8TjAJ8MC3Tf2Jcl2MKzC0VjU7.vbe VBE脚本分析： 加密方式：VBE加密 解密工具： vbe-decoder 实际功能：运行BAT脚本，最终启动DarkCrystal木马 3.4 DarkCrystal本体分析 文件名： $77Serverreview.exe 技术实现：.NET编写，高度混淆（.NET Reactor） 标志性特征：特定格式的互斥字符串 功能模块： 信息收集 ： 主机敏感信息： 主机名、用户名 管理员权限状态 麦克风/摄像头存在检测 CPU/GPU信息 活动窗口信息 应用软件信息： Telegram、Steam、Discord等 剪贴板内容 屏幕截图 大量系统信息 C2通信 ： C2地址： http://micrepnis[.]ru/pollWpdownloadstemporary.php 反射执行插件 进程伪装功能 ： 遍历系统运行进程 将木马名称改为与被选进程相同 复制到指定目录 结束原进程并追加.exe后缀 将复制后的木马添加到自启动 4. 技术总结 4.1 攻击技术栈 多阶段投放： 初始dropper → 释放多个组件 → 下载rootkit → 最终RAT 混淆与加密： .NET Reactor混淆 VBE脚本加密 多层编码配置 持久化技术： 进程伪装 自启动添加 防御规避： 禁用安全软件（Defender） 关闭UAC 使用rootkit隐藏痕迹 4.2 检测与防御建议 检测指标 ： 文件路径： C:\$77Container\into 进程名： $77Serverreview.exe 互斥体：特定格式字符串 网络通信：micrepnis[ . ]ru域名 防御措施 ： 验证软件数字签名 检查下载源是否为官方渠道 监控异常进程创建行为 检测rootkit特征（如NT函数hook） 阻止可疑域名访问 分析工具 ： .NET反混淆：NETReactorSlayer VBE解密：vbe-decoder 行为分析：Process Monitor、Wireshark 5. IOC（入侵指标） 文件哈希（需补充具体样本的MD5/SHA1/SHA256） C2地址： http://micrepnis[.]ru/pollWpdownloadstemporary.php 相关域名：micrepnis[ . ]ru 文件路径： C:\$77Container\into 进程名： $77Serverreview.exe