俄罗斯套娃式的.net样本分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

俄罗斯套娃式的.net样本分析

发表于: 2020-6-28 15:18 7290

俄罗斯套娃式的.net样本分析

1行

2020-6-28 15:18

7290

原来没有分析过.net的恶意程序，偶然发现了一个使用了Agent Tesla间谍软件生成的木马，看到有不少分析的文章了，就自己分析一下，记录一下分析过程。

原始文件是由c#编写的，内部包含两个资源，一个是图片，另一个是DLL文件。程序运行时会先将DLL文件在内存中释放出来。然后在DLL文件中使用解密函数将图片中隐藏的文件解密出来。隐藏的文件会设置计划任务，并解密出来一个PE文件来执行窃密操作。

使用dnspy对.net文件进行调试，a7fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1j5H3P5r3b7@1k6q4)9J5c8X3c8F1f1%4m8&6i4K6u0r3M7X3g2D9k6h3q4K6k6i4x3`. ，在这里进行下载。

dnspy左侧是一些程序集，右侧是程序集对应的代码

1592967126837

先静态看看有什么内容，发现有两个资源，一个是图片，另一个似乎是PE文件

1592969814605

关键函数应该是这里

1592967514861

调试时可以在入口点停下，也可以下断点。

1592967232290

在此函数中将执行关键函数。

1592969687780

执行上述函数就会到达 PhotoDirector.dll 的函数中

1592969913105

使用自身的解密方式来进行解密操作

1592969975428

可以看到解密出来了一个PE文件

1592970068344

将文件dump出来继续分析，将从恶意程序中解密出来的文件复制到指定目录中。

解密资源中的xml文件，并将其放入临时文件中

1592985323960

获取信息准备设置计划任务

1592535607919

获取schtasks.exe，设置计划任务

1592535780461

1592535820804

计划任务已设置

1592535952201

运行之后，系统就提示检测到恶意软件，然而感觉似乎没有运行啊，就猜想会不会有其他的地方又解密出来一个恶意程序。
暂时不晓得该怎样调试，就在所有的类中添加了类断点，运行之后原来在程序的入口点之前恶意文件就已经被解密了。不过这个方法是只能是在类较少的情况下使用，不然断点太多了好麻烦的。

1592547573290

将程序dump下载进行分析，基本操作就是获取系统下载软件信息，窃取用户的各种账号密码，

1592555478430

获取发送信息的地址

1592556408203

拼接GET信息

1592556615557

密码字典爆破，用自设的用户名登录电脑

1592557076424

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

#.NET平台 #病毒木马 #调试逆向

上传的附件：

512614d4683ffe32c440266c41ca1a5b0cc9949b78850d3c131c1da388c6003d.zip （147.58kb，45次下载）

收藏・6

免费・6

支持

最新回复 (9)
Vagaeth2 雪币： 214 活跃值： (147) 能力值： ( LV3，RANK：35 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	Vagaeth2 2 楼发现不少恶意软件喜欢用.net来写 2020-6-28 17:43 0
Mxixihaha 雪币： 5280 活跃值： (5325) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 620 粉丝 20 关注私信	Mxixihaha 3 楼 Vagaeth 发现不少恶意软件喜欢用.net来写估计是因为 Net 不报毒可以躲杀毒软件 2020-6-28 20:28 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 11 关注私信	ZwCopyAll 4 楼 maark 2020-6-28 21:01 0
实都雪币： 66 活跃值： (3269) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 150 粉丝 1 关注私信	实都 5 楼 Mxixihaha 估计是因为 Net 不报毒可以躲杀毒软件 defender识别.NET的马比较厉害，之前就被干过 2020-6-30 15:30 0
江北浪雪币： 753 活跃值： (220) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 1 关注私信	江北浪 6 楼 Vagaeth 发现不少恶意软件喜欢用.net来写可能是语法糖比较多吧，很多东西比较方便 2020-7-1 16:18 0
niuzuoquan 雪币： 300 活跃值： (2767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 522 粉丝 2 关注私信	niuzuoquan 7 楼 mark 2020-7-4 23:24 0
lracker 雪币： 579 活跃值： (1523) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 28 粉丝 6 关注私信	lracker 8 楼这应该不是Tesla,根据以往的报告以及外网的报告,可以得知Tesla应该是一个.net程序.而前面三个阶段只是一个打包器,最后一个阶段才是真正的木马.但从分析中可以得知,最后一个阶段并非是一个.net程序,Tesla作为一个商业马,新旧版本代码应该具有一定的相似性.所以我觉得不太像是Tesla,可能是前面几个阶段VT上误报了.这种打包器在其他组织的攻击中也出现过,然后到了第四阶段释放出AsyncRAT开源木马. 参考链接: 53eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2X3L8%4u0@1K9h3&6W2N6q4)9J5k6h3y4G2L8g2)9J5c8X3u0D9L8$3N6Q4x3V1k6@1K9s2u0W2j5i4c8Q4x3X3c8J5k6i4y4W2j5i4u0U0K9q4)9J5c8X3&6W2N6#2)9J5k6r3q4Y4k6h3&6@1i4K6u0V1N6r3g2K6L8r3q4Q4x3X3c8$3j5i4u0A6j5h3&6@1i4K6u0V1M7%4m8J5k6h3q4V1K9h3&6Y4i4K6u0V1j5Y4W2Q4x3X3c8H3K9r3W2K6K9r3W2F1k6H3`.`. a1dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2X3L8%4u0@1K9h3&6W2N6q4)9J5k6h3y4G2L8g2)9J5c8X3u0D9L8$3N6Q4x3V1k6@1K9s2u0W2j5i4c8Q4x3X3c8J5k6i4y4W2j5i4u0U0K9q4)9J5c8X3q4F1j5h3I4&6M7$3W2K6i4K6u0V1L8$3k6Q4x3X3c8F1k6i4N6Q4x3X3c8S2k6$3g2F1N6q4)9J5k6s2c8W2M7$3I4S2i4K6u0V1M7%4m8&6N6$3q4J5k6g2)9J5k6s2k6S2M7X3W2S2L8Y4b7`. 7f3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0N6b7g2U0c8*7K9q4)9J5k6q4A6v1f1#2u0Q4x3X3c8B7f1X3j5#2f1W2y4p5M7h3y4c8 1dbK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8W2b7I4y4i4m8V1P5X3&6K9h3U0c8K9M7#2k6h3M7r3y4w2M7W2N6D9L8W2p5`. 最后于 2020-9-29 15:14 被lracker编辑，原因： 2020-9-29 15:11 0
不懂就不懂雪币： 63 活跃值： (3175) 能力值： ( LV7，RANK：110 ) 在线值：发帖 7 回帖 57 粉丝 33 关注私信	不懂就不懂 2 9 楼 lracker 这应该不是Tesla,根据以往的报告以及外网的报告,可以得知Tesla应该是一个.net程序.而前面三个阶段只是一个打包器,最后一个阶段才是真正的木马.但从分析中可以得知,最后一个阶段并非是一个.ne ... 是的基本上会有两个或者两个以上的加载器，比方说bobsoft ，然后还有一个加载器我没认出来，是内存加载，然后HOOK了 CorExeMain中的一些函数，调用CorExeMain去执行的Tesla，我最近在找这个加载器的资料。如果有的话想要学习一下~ 2020-9-29 17:09 0
lracker 雪币： 579 活跃值： (1523) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 28 粉丝 6 关注私信	lracker 10 楼不懂就不懂是的基本上会有两个或者两个以上的加载器，比方说bobsoft ，然后还有一个加载器我没认出来，是内存加载，然后HOOK了 CorExeMain中的一些函数，调用CorExeMain去执行的Tesla ... 没呀，兄弟 2020-9-30 00:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

1行

发帖

回帖

120

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
Vagaeth2 雪币： 214 活跃值： (147) 能力值： ( LV3，RANK：35 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	Vagaeth2 2 楼发现不少恶意软件喜欢用.net来写 2020-6-28 17:43 0
Mxixihaha 雪币： 5280 活跃值： (5325) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 620 粉丝 20 关注私信	Mxixihaha 3 楼 Vagaeth 发现不少恶意软件喜欢用.net来写估计是因为 Net 不报毒可以躲杀毒软件 2020-6-28 20:28 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 11 关注私信	ZwCopyAll 4 楼 maark 2020-6-28 21:01 0
实都雪币： 66 活跃值： (3269) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 150 粉丝 1 关注私信	实都 5 楼 Mxixihaha 估计是因为 Net 不报毒可以躲杀毒软件 defender识别.NET的马比较厉害，之前就被干过 2020-6-30 15:30 0
江北浪雪币： 753 活跃值： (220) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 1 关注私信	江北浪 6 楼 Vagaeth 发现不少恶意软件喜欢用.net来写可能是语法糖比较多吧，很多东西比较方便 2020-7-1 16:18 0
niuzuoquan 雪币： 300 活跃值： (2767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 522 粉丝 2 关注私信	niuzuoquan 7 楼 mark 2020-7-4 23:24 0
lracker 雪币： 579 活跃值： (1523) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 28 粉丝 6 关注私信	lracker 8 楼这应该不是Tesla,根据以往的报告以及外网的报告,可以得知Tesla应该是一个.net程序.而前面三个阶段只是一个打包器,最后一个阶段才是真正的木马.但从分析中可以得知,最后一个阶段并非是一个.net程序,Tesla作为一个商业马,新旧版本代码应该具有一定的相似性.所以我觉得不太像是Tesla,可能是前面几个阶段VT上误报了.这种打包器在其他组织的攻击中也出现过,然后到了第四阶段释放出AsyncRAT开源木马. 参考链接: 53eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2X3L8%4u0@1K9h3&6W2N6q4)9J5k6h3y4G2L8g2)9J5c8X3u0D9L8$3N6Q4x3V1k6@1K9s2u0W2j5i4c8Q4x3X3c8J5k6i4y4W2j5i4u0U0K9q4)9J5c8X3&6W2N6#2)9J5k6r3q4Y4k6h3&6@1i4K6u0V1N6r3g2K6L8r3q4Q4x3X3c8$3j5i4u0A6j5h3&6@1i4K6u0V1M7%4m8J5k6h3q4V1K9h3&6Y4i4K6u0V1j5Y4W2Q4x3X3c8H3K9r3W2K6K9r3W2F1k6H3`.`. a1dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2X3L8%4u0@1K9h3&6W2N6q4)9J5k6h3y4G2L8g2)9J5c8X3u0D9L8$3N6Q4x3V1k6@1K9s2u0W2j5i4c8Q4x3X3c8J5k6i4y4W2j5i4u0U0K9q4)9J5c8X3q4F1j5h3I4&6M7$3W2K6i4K6u0V1L8$3k6Q4x3X3c8F1k6i4N6Q4x3X3c8S2k6$3g2F1N6q4)9J5k6s2c8W2M7$3I4S2i4K6u0V1M7%4m8&6N6$3q4J5k6g2)9J5k6s2k6S2M7X3W2S2L8Y4b7`. 7f3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0N6b7g2U0c8*7K9q4)9J5k6q4A6v1f1#2u0Q4x3X3c8B7f1X3j5#2f1W2y4p5M7h3y4c8 1dbK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8W2b7I4y4i4m8V1P5X3&6K9h3U0c8K9M7#2k6h3M7r3y4w2M7W2N6D9L8W2p5`. 最后于 2020-9-29 15:14 被lracker编辑，原因： 2020-9-29 15:11 0
不懂就不懂雪币： 63 活跃值： (3175) 能力值： ( LV7，RANK：110 ) 在线值：发帖 7 回帖 57 粉丝 33 关注私信	不懂就不懂 2 9 楼 lracker 这应该不是Tesla,根据以往的报告以及外网的报告,可以得知Tesla应该是一个.net程序.而前面三个阶段只是一个打包器,最后一个阶段才是真正的木马.但从分析中可以得知,最后一个阶段并非是一个.ne ... 是的基本上会有两个或者两个以上的加载器，比方说bobsoft ，然后还有一个加载器我没认出来，是内存加载，然后HOOK了 CorExeMain中的一些函数，调用CorExeMain去执行的Tesla，我最近在找这个加载器的资料。如果有的话想要学习一下~ 2020-9-29 17:09 0
lracker 雪币： 579 活跃值： (1523) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 28 粉丝 6 关注私信	lracker 10 楼不懂就不懂是的基本上会有两个或者两个以上的加载器，比方说bobsoft ，然后还有一个加载器我没认出来，是内存加载，然后HOOK了 CorExeMain中的一些函数，调用CorExeMain去执行的Tesla ... 没呀，兄弟 2020-9-30 00:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复