携带恶意rootkit的github项目通过SeroXen RAT木马攻击github项目使用人员
字数 2403 2025-08-05 12:50:40

GitHub项目携带恶意Rootkit及SeroXen RAT木马分析报告

概述

本报告详细分析了一个GitHub项目(VenomRAT-HVNC-5.6)中携带的恶意Rootkit和SeroXen RAT木马。该项目表面上是VenomRAT远程访问工具,但实际上植入了复杂的恶意代码链,包括:

  • 混淆的批处理脚本
  • 多层加密的C#程序
  • r77-rootkit开源项目组件
  • SeroXen RAT木马

恶意代码执行流程

1. 初始执行点

VenomRAT项目在多个代码片段处执行"Stub\ClientFix.bat"文件,若不存在则从hxxps://underground-cheat.com/venomFix/ClientFix.bat下载。

2. ClientFix.bat分析

文件信息

  • 大小:11,052,586字节
  • MD5:42EF9DB764C0F7361BA2157D9553C0E6
  • 高度混淆的批处理脚本

解密后核心功能

  1. 从批处理文件中提取"::"行内容
  2. 使用Base64解码
  3. 使用AES-CBC解密(Key: 9007517c68c6e6743bdc3cc531d187025de963c82d04d6527351e45afe245634,IV: 5df4c7526149a8897a358611bd58ba53
  4. 使用gzip解压获取PE文件
  5. 执行该PE文件

3. tmpB23C程序分析

文件信息

  • 大小:14,961,152字节
  • MD5:C8D4DCD0119E83E2946C9154A36E184B
  • 混淆的C#程序

关键技术

AMSI绕过

  • 调用VirtualProtect和Marshal.Copy
  • 将AmsiScanBuffer函数ret掉(填充指令:0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3

ETW绕过

  • 将EtwEventWrite函数ret掉(填充指令:0xC3

反射加载

  • 从资源中解密释放payload.exe
  • 反射加载payload.exe

自删除

  • 调用cmd命令删除自身

4. CSStub2程序分析

文件信息

  • 大小:2,722,816字节
  • MD5:9FADC32EF1DC5AA15AACE0EE558E8A0B
  • 使用Costura插件嵌入多个可执行文件

解密资源

  1. 对字符串做MD5运算生成AES Key:aad5862a79751b51bd07fe77ab9530aad5862a79751b51bd07fe77ab95300800
  2. 使用AES-ECB解密以下资源:
    • CSStub2.$sxr-nircmd.exe
    • CSStub2.InstallStager.exe
    • CSStub2.UninstallStager.exe

5. r77-rootkit组件

项目来源:https://github.com/bytecode77/r77-rootkit

执行流程

  1. 从资源中解密InstallStager.Service64.exe
  2. 将载荷注入到winlogon.exe进程
  3. 使用Process Hollowing技术通过dllhost.exe执行

持久化
创建计划任务:

C:\Windows\$sxr-powershell.exe -NoLogo -NoProfile -NonInteractive -WindowStyle hidden -ExecutionPolicy bypass -Command [复杂解密命令]

计划任务解密流程

  1. 使用AES-CBC解密(Key: 7337a36860f35e1b51937ad140ec00ec216833dd20e454209c9f392da51941de,IV: 32b1149b0d8245f2300cde039ee8d56a
  2. 从注册表HKEY_LOCAL_MACHINE\SOFTWARE$sxr-YuUPClmUpmhGilfvUVHG提取数据
  3. 再次AES解密
  4. gzip解压获取PE文件
  5. 反射加载(tmpA72F)

6. SeroXen RAT分析

文件信息

  • 大小:6,983,680字节
  • 版本:1.4.0
  • MD5:7E6C667246744B083480A5C6FB9D3499

配置信息解密

Version:1.4.0
Hosts:dofucks.com:12482;private115.duckdns.org:12482;
Install Subdirectory: 
Install Name:.exe
Mutex:adf10731-c83d-4166-9137-39d0b1e48856
Startup Name:$sxr-seroxen
Client Tag:v15.4.1 | Venom
Log Directory Name:$sxr-Logs

证书信息
与Quasar RAT生成的证书相似,表明基于Quasar RAT项目修改

网络基础设施

域名/IP 用途
hxxps://underground-cheat.com/venomFix/ClientFix.bat 初始恶意脚本下载
dofucks.com:12482 C2服务器
private115.duckdns.org:12482 C2服务器
172.234.25.151 underground-cheat.com解析IP
199.59.243.225 dofucks.com解析IP
91.178.236.90 private115.duckdns.org解析IP

其他恶意GitHub项目

VenomRAT-v6.0.3-SOURCE项目中也发现类似恶意代码,伪装成"Venom RAT + H.exe"程序。

检测与防护建议

  1. 监控以下关键指标

    • 异常进程注入(特别是winlogon.exe)
    • 注册表键值修改(HKEY_LOCAL_MACHINE\SOFTWARE$sxr-*)
    • 异常计划任务创建
    • 上述网络IOC的通信行为

  2. 防护措施

    • 在沙箱或隔离环境中分析可疑GitHub项目
    • 监控批处理脚本的异常行为
    • 加强AMSI和ETW的保护机制
    • 阻止与已知恶意域名的通信

  3. 取证要点

    • 检查上述文件哈希
    • 分析计划任务内容
    • 检查注册表中可疑项
    • 网络流量中查找C2通信

本攻击链展示了现代恶意软件如何利用多重混淆、加密和合法工具(如PowerShell)绕过安全检测,安全团队应特别关注这类复杂攻击模式。

GitHub项目携带恶意Rootkit及SeroXen RAT木马分析报告 概述 本报告详细分析了一个GitHub项目(VenomRAT-HVNC-5.6)中携带的恶意Rootkit和SeroXen RAT木马。该项目表面上是VenomRAT远程访问工具,但实际上植入了复杂的恶意代码链,包括: 混淆的批处理脚本 多层加密的C#程序 r77-rootkit开源项目组件 SeroXen RAT木马 恶意代码执行流程 1. 初始执行点 VenomRAT项目在多个代码片段处执行"Stub\ClientFix.bat"文件,若不存在则从hxxps://underground-cheat.com/venomFix/ClientFix.bat下载。 2. ClientFix.bat分析 文件信息 : 大小:11,052,586字节 MD5:42EF9DB764C0F7361BA2157D9553C0E6 高度混淆的批处理脚本 解密后核心功能 : 从批处理文件中提取"::"行内容 使用Base64解码 使用AES-CBC解密(Key: 9007517c68c6e6743bdc3cc531d187025de963c82d04d6527351e45afe245634 ,IV: 5df4c7526149a8897a358611bd58ba53 ) 使用gzip解压获取PE文件 执行该PE文件 3. tmpB23C程序分析 文件信息 : 大小:14,961,152字节 MD5:C8D4DCD0119E83E2946C9154A36E184B 混淆的C#程序 关键技术 : AMSI绕过 调用VirtualProtect和Marshal.Copy 将AmsiScanBuffer函数ret掉(填充指令: 0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3 ) ETW绕过 将EtwEventWrite函数ret掉(填充指令: 0xC3 ) 反射加载 从资源中解密释放payload.exe 反射加载payload.exe 自删除 调用cmd命令删除自身 4. CSStub2程序分析 文件信息 : 大小:2,722,816字节 MD5:9FADC32EF1DC5AA15AACE0EE558E8A0B 使用Costura插件嵌入多个可执行文件 解密资源 : 对字符串做MD5运算生成AES Key: aad5862a79751b51bd07fe77ab9530aad5862a79751b51bd07fe77ab95300800 使用AES-ECB解密以下资源: CSStub2.$sxr-nircmd.exe CSStub2.InstallStager.exe CSStub2.UninstallStager.exe 5. r77-rootkit组件 项目来源 :https://github.com/bytecode77/r77-rootkit 执行流程 : 从资源中解密InstallStager.Service64.exe 将载荷注入到winlogon.exe进程 使用Process Hollowing技术通过dllhost.exe执行 持久化 : 创建计划任务: 计划任务解密流程 : 使用AES-CBC解密(Key: 7337a36860f35e1b51937ad140ec00ec216833dd20e454209c9f392da51941de ,IV: 32b1149b0d8245f2300cde039ee8d56a ) 从注册表HKEY_ LOCAL_ MACHINE\SOFTWARE\$sxr-YuUPClmUpmhGilfvUVHG提取数据 再次AES解密 gzip解压获取PE文件 反射加载(tmpA72F) 6. SeroXen RAT分析 文件信息 : 大小:6,983,680字节 版本:1.4.0 MD5:7E6C667246744B083480A5C6FB9D3499 配置信息解密 : 证书信息 : 与Quasar RAT生成的证书相似,表明基于Quasar RAT项目修改 网络基础设施 | 域名/IP | 用途 | |---------|------| | hxxps://underground-cheat.com/venomFix/ClientFix.bat | 初始恶意脚本下载 | | dofucks.com:12482 | C2服务器 | | private115.duckdns.org:12482 | C2服务器 | | 172.234.25.151 | underground-cheat.com解析IP | | 199.59.243.225 | dofucks.com解析IP | | 91.178.236.90 | private115.duckdns.org解析IP | 其他恶意GitHub项目 VenomRAT-v6.0.3-SOURCE项目中也发现类似恶意代码,伪装成"Venom RAT + H.exe"程序。 检测与防护建议 监控以下关键指标 : 异常进程注入(特别是winlogon.exe) 注册表键值修改(HKEY_ LOCAL_ MACHINE\SOFTWARE\$sxr-* ) 异常计划任务创建 上述网络IOC的通信行为 防护措施 : 在沙箱或隔离环境中分析可疑GitHub项目 监控批处理脚本的异常行为 加强AMSI和ETW的保护机制 阻止与已知恶意域名的通信 取证要点 : 检查上述文件哈希 分析计划任务内容 检查注册表中可疑项 网络流量中查找C2通信 本攻击链展示了现代恶意软件如何利用多重混淆、加密和合法工具(如PowerShell)绕过安全检测,安全团队应特别关注这类复杂攻击模式。