Cybergate RAT 样本分析技术文档<\/h1>

1. 样本基础信息<\/h2>

1.1 样本标识<\/h3>

Unpacme分析链接<\/strong>: https:\/\/www.unpac.me\/results\/7ec3268f-b1ed-49af-a8ff-218513c127db\/<\/a><\/li> <\/ul>
1.2 静态分析特征<\/h3>

文件类型<\/strong>: 32位PE文件<\/li>
编译器<\/strong>: Delphi编写<\/li>
加壳情况<\/strong>: 使用UPX加壳（未魔改，可直接脱壳）<\/li>
节区特征<\/strong>: .rsrc节被加壳混淆，具有高熵值区域<\/li> <\/ul>
2. 初始样本分析<\/h2>
2.1 脱壳处理<\/h3>

使用UPX -d命令可直接脱壳<\/li>
脱壳后文件会覆盖原文件<\/li> <\/ul>
2.2 关键函数分析<\/h3>
2.2.1 互斥锁创建<\/h4>
CreateMutexA("_x_X_UPDATE_X_x_") CreateMutexA("_x_X_PASSWORDLIST_X_x_") <\/code><\/pre> 检查互斥锁是否存在(GetLastError与0xB7比较)<\/li> 如果存在则关闭句柄并休眠12秒<\/li> 不存在则直接关闭句柄<\/li> <\/ul> 2.2.2 文件创建<\/h4> CreateFileA("XX--XX--XX.txt") <\/code><\/pre> 创建并写入数据到临时文件<\/li> 与沙箱观察到的释放文件行为一致<\/li> <\/ul> 2.2.3 进程注入技术<\/h4> 查找Shell_TrayWnd窗口获取进程ID<\/li> 未找到则创建explorer.exe进程<\/li> 关键注入流程： VirtualAlloc<\/code>分配内存<\/li> WriteProcessMemory<\/code>写入恶意代码<\/li> CreateRemoteThread<\/code>创建远程线程执行<\/li> <\/ul> <\/li> <\/ol> 3. 第二阶段样本分析<\/h2> 3.1 样本1：DLL文件<\/h3> 3.1.1 防火墙绕过技术<\/h4> 注册表路径: SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List <\/code><\/pre> 添加"Windows Firewall Update"到授权应用列表<\/li> 设置":*:Enabled:"允许所有端口和协议通过<\/li> <\/ul> 3.1.2 HTTP代理功能<\/h4> 初始化TIdTCPServer<\/code>对象建立TCP服务器<\/li> 实现远程控制通信能力<\/li> <\/ul> 3.1.3 凭证窃取功能<\/h4> Chrome密码窃取<\/strong>:<\/p> 定位Chrome数据路径： %Local AppData%\Google\Chrome\User Data\Default\Web Data <\/code><\/pre> <\/li> 操作SQLite数据库"\x0FTSQLiteDatabase"<\/li> 解密流程：检索password_value, username_value, origin_url<\/li> 使用CryptUnprotectData<\/code>解密数据<\/li> <\/ul> <\/li> <\/ol> Firefox密码窃取<\/strong>:<\/p> 通过"Mozilla3_5Password"函数获取凭证<\/li> 同样使用加密API进行解密<\/li> <\/ul> 3.2 样本2<\/h3> 与初始样本功能相似<\/li> <\/ul> 3.3 样本3：持久化DLL<\/h3> 3.3.1 持久化技术<\/h4> 注册表路径: - Software\Microsoft\Windows\CurrentVersion\Run - Policies\Explorer\Run <\/code><\/pre> 实现用户登录时自启动<\/li> 通过系统策略强制启动<\/li> <\/ul> 3.3.2 进程注入增强<\/h4> 获取SeDebugPrivilege<\/code>权限<\/li> 调整任意进程内存的能力<\/li> 版本检测逻辑：检查dwMinorVersion<\/code>判断Windows版本<\/li> 支持Windows NT 3.1\/XP\/7\/Server 2008 R2<\/li> <\/ul> <\/li> <\/ol> 4. 网络行为特征<\/h2> 建立大量网络连接<\/li> TCP服务器监听<\/li> 使用HTTP代理进行通信<\/li> 远程控制指令传输<\/li> <\/ul> 5. 检测与防御建议<\/h2> 5.1 检测指标<\/h3> 互斥锁名称特征： "x_X_UPDATE_X_x<\/em>"<\/li> "x_X_PASSWORDLIST_X_x<\/em>"<\/li> <\/ul> <\/li> 文件特征： XX--XX--XX.txt模式<\/li> 临时目录中的异常文件创建<\/li> <\/ul> <\/li> 注册表修改：防火墙授权应用列表异常条目<\/li> 自启动项异常修改<\/li> <\/ul> <\/li> <\/ul> 5.2 防御措施<\/h3> 监控关键API调用： VirtualAlloc + WriteProcessMemory + CreateRemoteThread组合<\/li> CryptUnprotectData异常调用<\/li> <\/ul> <\/li> 限制调试权限分配<\/li> 监控浏览器凭证访问行为<\/li> 网络层检测异常TCP连接<\/li> <\/ol> 6. 分析技巧总结<\/h2> Delphi程序分析<\/strong>：<\/p> 禁用IDA的自动分析<\/li> 关注VCL库函数调用模式<\/li> <\/ul> <\/li> 内存提取技巧<\/strong>：<\/p> 在VirtualAlloc设置断点<\/li> 使用硬件断点跟踪内存写入<\/li> 注意多次分配内存的情况<\/li> <\/ul> <\/li> 行为分析组合<\/strong>：<\/p> 静态分析 + 沙箱动态分析<\/li> 注册表操作与网络行为关联分析<\/li> <\/ul> <\/li> 对抗反分析<\/strong>：<\/p> 处理反调试call<\/li> 绕过互斥锁检查<\/li> 修复dump文件的PE结构<\/li> <\/ul> <\/li> <\/ol>