Dark Crystal RAT (Dcrat) 恶意软件深度分析技术文档<\/h1>

一、概述<\/h2>
Dark Crystal RAT (Dcrat) 是一种基于.NET框架的远程访问木马(RAT)，主要用于窃取敏感信息并实现对受感染计算机的远程控制。本文档详细分析了Dcrat的三阶段加载机制、混淆技术、C2通信提取方法以及其恶意行为特征。<\/p>

二、样本分析技术要点<\/h2>

第一阶段分析<\/h3>

初始检测<\/strong>：<\/p>

使用DIE(Detect It Easy)检测显示为.NET程序<\/li>
高熵值表明存在加密或压缩的有效载荷<\/li>
使用dnSpy进行.NET逆向分析<\/li> <\/ul> <\/li>

核心解密逻辑<\/strong>：<\/p>
\/\/ 样本创建大数组unit后执行解密<\/span> <\/span><\/span>byte<\/span>[] array2 = this<\/span>.Decrypt(unit); <\/span><\/span>Assembly assembly = this<\/span>.LoadModule(array2, "koi"<\/span>); <\/span><\/span><\/code><\/pre><\/li> 内存提取技术<\/strong>：<\/p> 方法一：模块断点法在调试器中设置模块加载断点：bm \/a *<\/code><\/li> 等待"koi"模块加载时中断<\/li> 通过调试器模块窗口提取保存为koi.exe<\/li> <\/ul> <\/li> 方法二：直接内存提取在Decrypt函数后设置断点<\/li> 提取解密后的array2字节数组<\/li> 保存为PE文件(注意0x4D 0x5A头部标识)<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 第二阶段(koi.exe)分析<\/h3> 混淆技术<\/strong>：包含大量类似Base64的混淆字符串<\/li> 关键解密逻辑： for<\/span> (int<\/span> i = 0<\/span>; i < string_0.Length; i += 2<\/span>) <\/span><\/span>{ <\/span><\/span> stringBuilder.Append(string_0[i]); <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 提取PE文件的Python脚本示例： with<\/span> open('encoded.txt'<\/span>, 'r'<\/span>) as<\/span> f: <\/span><\/span> data =<\/span> f.<\/span>read() <\/span><\/span>extracted =<\/span> data[::2<\/span>] # 每隔一个字符取一个<\/span> <\/span><\/span>with<\/span> open('output.bin'<\/span>, 'wb'<\/span>) as<\/span> f: <\/span><\/span> f.<\/span>write(bytes.<\/span>fromhex(extracted)) <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 第三阶段分析<\/h3> C2服务器提取技术<\/strong>：<\/p> 发现Base64+Gzip编码字符串(H4sIAA开头)<\/li> 解码流程： Base64解码<\/li> Gzip解压<\/li> 字符串反转<\/li> 再次Base64解码<\/li> <\/ol> <\/li> 使用CyberChef或Python实现解码链<\/li> <\/ul> <\/li> 字典替换解密<\/strong>：<\/p> 获取SCRT字符替换字典<\/li> Python处理脚本： # 假设已获取字典mapping和编码字符串encoded_str<\/span> <\/span><\/span>decoded =<\/span> ''<\/span>.<\/span>join([mapping.<\/span>get(c, c) for<\/span> c in<\/span> encoded_str]) <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 三、恶意行为分析<\/h2> 信息窃取功能<\/h3> 剪贴板监控<\/strong>：<\/p> string<\/span> text = Clipboard.GetText(TextDataFormat.UnicodeText); <\/span><\/span><\/code><\/pre><\/li> 屏幕截图<\/strong>：<\/p> 定期截取屏幕<\/li> 转换为JPEG字节数组上传C2<\/li> <\/ul> <\/li> 凭证窃取<\/strong>：<\/p> Steam<\/strong>：读取注册表获取安装路径<\/li> 解析loginusers.vdf<\/code>文件获取账户信息<\/li> <\/ul> <\/li> Telegram<\/strong>：查找tdata<\/code>目录获取会话信息<\/li> <\/ul> <\/li> Discord<\/strong>：窃取Local Storage<\/code>中的敏感数据<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 持久化技术<\/h3> 计划任务创建<\/strong>：<\/p> schtasks \/create \/tn "任务名"<\/span> \/sc MINUTE \/mo 5 \/tr "恶意程序路径"<\/span> \/f <\/span><\/span>schtasks \/create \/tn "任务名"<\/span> \/sc ONLOGON \/tr "恶意程序路径"<\/span> \/f \/rl HIGHEST <\/span><\/span><\/code><\/pre><\/li> 注册表修改<\/strong>：<\/p> 添加自启动项： HKCU\Software\Microsoft\Windows\CurrentVersion\Run<\/span> <\/span><\/span><\/code><\/pre><\/li> 修改Shell键： HKLM\Software\Microsoft\Windows<\/span> NT\CurrentVersion\Winlogon\Shell<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 四、检测与防护建议<\/h2> 检测指标<\/strong>：<\/p> 高熵.NET程序<\/li> 异常的模块加载行为<\/li> 计划任务创建事件(特别是MINUTE和ONLOGON触发器)<\/li> 对敏感目录(Steam、Telegram、Discord)的异常访问<\/li> <\/ul> <\/li> 防护措施<\/strong>：<\/p> 监控.NET程序的异常网络连接<\/li> 限制计划任务的创建权限<\/li> 保护关键注册表键的修改<\/li> 对剪贴板访问行为进行监控<\/li> <\/ul> <\/li> <\/ol> 五、技术总结<\/h2> Dcrat展示了现代恶意软件的典型特征：<\/p> 多阶段加载机制规避检测<\/li> 复杂的混淆和加密技术<\/li> 多种持久化方法<\/li> 广泛的信息收集能力<\/li> 灵活的C2通信设计<\/li> <\/ol> 通过完整分析其技术实现，可有效提升对此类威胁的检测和防御能力。<\/p>