Java-VBS联合传播RAT技术分析

Java-VBS联合传播RAT技术分析 1. Adwind RAT概述 Adwind是一种基于Java的远程管理工具(RAT)，具有跨平台特性，主要特点包括： 通过Java文件(.jar)传播 需要Java Runtime环境运行 成功运行后会自行安装并连接远程服务器 允许攻击者远程控制受感染系统 2. 感染链分析 2.1 初始感染阶段 传播方式 ：通过钓鱼邮件附带恶意.jar文件 诱骗手段 ：精心设计的邮件内容诱导用户点击 文件执行 ：用户运行.jar附件后开始感染过程 2.2 文件结构分析 父类JAR文件 ：初始执行的Sample.jar 混淆技术 ：使用DES、RC4或RC6加密payload和配置文件 主类 ：bogjbycqdq.Mawbkhvaype 2.3 执行流程 Mawbkhvaype.class检查JAR资源文件 提取并释放mzesvhbami资源(实际为VBS文件) 在用户主目录创建bypqzbfsrg.vbs并执行 3. VBS脚本分析 3.1 bymqzbfsrg.vbs功能 包含大量混淆的base64编码数据 解码后生成ntfsmgr.jar并释放到%appdata%\Roaming 创建配置文件：drop.box、mega.download、sky.drive 3.2 最终payload ntfsmgr.jar主类为operational.Jrat 在%TEMP%目录释放随机命名的.class文件(如_ 0.1234567897654265678.class) 执行最终恶意操作 4. 恶意功能分析 Adwind RAT具有以下恶意功能： 键盘记录 文件修改和删除 屏幕截图 摄像头访问 鼠标和键盘控制 软件更新 5. VBS蠕虫技术细节 5.1 Bymqzbfsrg.vbs工作模式 释放两个文件到%appdata%\Roaming： ntfsmgr.jar sKXoevtgAv.vbs 使用ExecuteGlobal动态执行方法naira sKXoevtgAv.vbs解码为Houdini VBS蠕虫 5.2 Houdini蠕虫功能 下载并执行文件 运行系统命令 软件更新/卸载 文件传输(上传/下载) 文件/文件夹删除 进程终止 文件系统枚举 6. 持久化技术 添加启动项：ntfsmgr.jar运行时将自己加入启动过程 反检测措施：检查系统安装的杀毒软件 环境准备： 复制已安装的Java Runtime到临时目录 或从网络下载Java Runtime 7. 防御建议 保持杀毒软件签名更新 警惕可疑邮件附件 谨慎执行.jar文件 McAfee检测名称： Adwind-FDVH.jar