Nanocore RAT 利用疫情传播的恶意软件分析教学文档

Nanocore RAT 利用疫情传播的恶意软件分析教学文档 1. 概述 本教学文档详细分析了一起利用COVID-19疫情作为诱饵的恶意软件攻击活动，攻击者通过公式编辑器漏洞传播Nanocore RAT远程访问木马。 2. 样本基本信息 | 属性 | 值 | |------|----| | 初始文件名 | CVOID.doc | | MD5 | df0bce9e2779b2a0c8cdfde33af17365 | | 利用方式 | 公式编辑器漏洞 | | 后续下载链接 | http://gaminithilakasiri.info/wp-user/file[ . ]hta | 3. 攻击链分析 3.1 初始感染阶段 受害者打开恶意文档"CVOID.doc" 利用未修补的公式编辑器漏洞执行攻击代码 从远程服务器下载HTA文件执行 3.2 载荷下载阶段 HTA文件包含PowerShell代码，执行以下操作： 从https://gaminithilakasiri.info/wp-user/wp【.】exe下载可执行文件 保存到%appdata%\output.exe并执行 3.3 多层载荷分析 第一层载荷：wp.exe MD5: b73114a5ab9ce93e5b3345012bf459d2 伪装成"Heroes III"游戏的开源辅助工具 实际功能是从资源中加载并执行另一个PE文件 第二层载荷：RoboSki.DLL MD5: 0113f14b0c0ea14db59a8db26dc0ea9a 仍为Loader，会在内存中加载另一个PE执行 第三层载荷：ReZer0V2 MD5: 61520312d5283f32d35eca8fef7b1588 执行反分析检测： 检查互斥量"GhrviEfuXmDnjaa"确保单一实例 尝试关闭Windows Defender： 修改注册表项 执行特定PowerShell命令 虚拟机检测： 检查硬盘描述 检查注册表项 检测到虚拟机环境则退出 沙箱/研究人员检测： 检查计算机用户名是否为常见沙箱/蜜罐/研究人员用户名 持久化机制： 创建计划任务 最终载荷：Nanocore RAT MD5: 0bb9331570daed9de581bfa96810e0fe 商业远程访问木马 功能： 从资源解密配置信息(包括C2地址) 键盘记录 窃取浏览器保存的凭据 获取应用列表 其他RAT常见功能 4. 技术细节分析 4.1 漏洞利用技术 利用未修补的公式编辑器漏洞(CVE-2017-11882等) 无诱饵内容，直接执行漏洞利用代码 4.2 反分析技术 多层加载 ：至少4层载荷，增加分析难度 虚拟机检测 ： 硬件信息检查 注册表项检查 沙箱规避 ： 常见用户名检测 延迟执行 持久化机制 ： 计划任务创建 注册表修改 4.3 载荷伪装技术 伪装为游戏辅助工具(Heroes III相关字符串) 多层嵌套执行增加隐蔽性 5. 防御建议 5.1 终端防护 保持系统和软件更新，特别是修补已知漏洞 启用并更新终端防护软件(如Windows Defender) 限制PowerShell执行策略 5.2 用户教育 不从非官方来源下载疫情相关信息 警惕与疫情相关的可疑文档 不执行来历不明的文件 5.3 企业防护 部署网络流量监控，检测可疑C2通信 实施应用程序白名单 监控和限制计划任务创建行为 6. 检测指标(IoCs) | 类型 | 值 | |------|----| | 文件MD5 | df0bce9e2779b2a0c8cdfde33af17365 | | 文件MD5 | b73114a5ab9ce93e5b3345012bf459d2 | | 文件MD5 | 0113f14b0c0ea14db59a8db26dc0ea9a | | 文件MD5 | 61520312d5283f32d35eca8fef7b1588 | | 文件MD5 | 0bb9331570daed9de581bfa96810e0fe | | URL | http://gaminithilakasiri.info/wp-user/file[ . ]hta | | URL | https://gaminithilakasiri.info/wp-user/wp【.】exe | | 互斥量 | GhrviEfuXmDnjaa | 7. 总结 此攻击活动利用疫情热点，通过多层技术手段传播Nanocore RAT，展示了现代恶意软件的复杂性和规避技术。防御此类攻击需要结合技术防护和用户安全意识教育。