新型.NET远控木马:跨语言内存加载+Cloudflare Workers C2
字数 2842 2025-12-24 12:12:02

新型.NET远控木马分析教学文档

一、样本概述

1.1 基本信息

  • 样本名称:RV-tools-4.7.0.1.exe
  • 文件大小:44817464字节
  • 文件版本:4.8.0.1
  • 哈希信息
    • MD5:288A873227369A421DC7A4148C2D6613
    • SHA1:7E4C67D4E10D20B4D1AD0F398D4CD6959F663219
    • SHA256:e15decd55971d328e0a404ae14278cbd2aa3c43305e27165565712639a8e94f8

1.2 数字签名特征

  • 签名主体:Taiyuan Tataomi Technology Co., Ltd.(太原踏涛米科技有限公司)
  • 状态:样本曝光后已被证书颁发机构撤销

二、技术特点分析

2.1 跨语言内存加载机制

样本采用多语言混合执行技术,依次加载:

  1. Python模块:通过pythonw.exe执行恶意脚本
  2. PowerShell脚本:内存中动态加载执行
  3. C#程序集:通过反射机制内存加载

2.2 文件释放行为

2.2.1 释放目录结构

C:\ProgramData\Microsoft\SystemWEB\
├── WINWORD.EXE(正常文件)
├── appvisvsubsystems64.dll(恶意DLL)
├── rvtools.msi(正常安装包)
└── Cert.txt

C:\ProgramData\Microsoft\AppUpdate\
├── WINWORD.EXE(正常文件)
├── appvisvsubsystems64.dll(恶意DLL)
├── app-systeminfo.py(恶意脚本)
└── SystemInfo/(Python环境文件)
    └── UsbServiceBroker.exe(pythonw.exe重命名)

2.2.2 关键文件哈希对照表

文件路径 MD5 性质
C:\ProgramData\Microsoft\AppUpdate\appvisvsubsystems64.dll 1A749E03A80BD8047AE6FAD441BE721D 恶意
C:\ProgramData\Microsoft\AppUpdate\app-systeminfo.py 16626F5D64940A11067C346AE1F621D7 恶意
C:\ProgramData\Microsoft\SystemWEB\appvisvsubsystems64.dll 7A160E20C51755B20FD3147C5BD1A7C7 恶意
UsbService64.exe(内存释放) 6A54536BBF5E9C6808065307B3BFBB08 恶意

2.3 白加黑技术实现

  • 利用方式:正常WINWORD.EXE加载同目录恶意appvisvsubsystems64.dll
  • 技术原理:利用系统DLL搜索顺序劫持合法程序执行流程

三、核心功能分析

3.1 UsbService64.exe远控模块

3.1.1 配置信息

string url = "https://divine-glitter-cfb4.elena-morales.workers.dev/";
string key = "kgZgwUMuMaoonJhCKrdLzujD";
int sleepTime = 15000;

3.1.2 通信加密算法

  • 加密方案:Base64 + RC4双重加密
  • 密钥管理:硬编码在程序入口参数中
  • 数据格式:JSON格式传输
{
    "UUID": null,
    "ID": "随机16字节ID",
    "Data": "RC4加密后的Base64数据"
}

3.1.3 远控指令集

指令格式 功能描述
exit 退出程序
delay time 设置休眠时间(毫秒)
byop PowerShell程序集字节数组 PowerShell脚本 内存加载PowerShell脚本
module cache cachefilename base64data 保存Base64数据到本地缓存
module cache cachefilename url 从URL下载文件到本地缓存
module run cached cachefilename 加载本地缓存的.NET模块
module run base64 base64data 直接加载Base64编码的.NET模块
module run file filename 加载指定路径的.NET模块

3.2 内存加载技术细节

3.2.1 PowerShell加载流程

# app-systeminfo.py中的加载逻辑
powershell_script = "解密的PowerShell代码"
decrypted_csharp = "从BJhrL2FUWDXg变量解密C#代码"

3.2.2 C#反射加载机制

// 典型的Assembly.Load内存加载
byte[] assemblyBytes = DecryptBase64Data(base64Data);
Assembly assembly = Assembly.Load(assemblyBytes);
MethodInfo method = assembly.EntryPoint;
method.Invoke(null, new object[] { args });

四、网络通信分析

4.1 C2基础设施

  • 通信域名
    • divine-glitter-cfb4.elena-morales.workers.dev
    • log-ingest-f1d.nina-alvarez.workers.dev
  • IP地址
    • 104.21.90.78(美国 Cloudflare, Inc.)
    • 172.67.153.253(美国 Cloudflare, Inc.)
  • 技术平台:Cloudflare Workers无服务器平台

4.2 通信协议分析

4.2.1 上线握手流程

  1. 生成16字节随机ID
  2. 发送注册信息:register [ID] [COMPUTERNAME] [USERDOMAIN\USERNAME]
  3. 示例:register hMSEICw8FcX9Y6Yz DESKTOP-JGLLJLD DESKTOP-JGLLJLD\admin

4.2.2 心跳维持机制

  • 间隔时间:可配置的休眠时间(默认15秒)
  • 心跳数据:空Data字段的JSON请求
  • 指令获取:通过UUID字段标识有效指令

4.3 通信数据解密示例

4.3.1 UsbService64.exe通信解密

# 原始加密数据
encrypted_data = "n+phoBrjN1AGaZzTZor54nDSCuSUSh67ILLJPfZinUCJrh0UIXRHuZSGLCDvv9X9EU3ysbcF9I/tBgQUpLl4"

# RC4解密流程
key = "kgZgwUMuMaoonJhCKrdLzujD"
decrypted = RC4_decrypt(Base64_decode(encrypted_data), key)
# 结果:register hMSEICw8FcX9Y6Yz DESKTOP-JGLLJLD DESKTOP-JGLLJLD\admin

五、防御检测建议

5.1 行为检测指标

  1. 文件系统监控

    • 异常目录创建:C:\ProgramData\Microsoft\SystemWEB\
    • 正常程序与异常DLL同目录存放
    • %TEMP%目录下UsbService64.exe释放执行

  2. 进程行为检测

    • WINWORD.EXE异常加载appvisvsubsystems64.dll
    • pythonw.exe重命名为UsbServiceBroker.exe
    • 多级进程链:exe → dll → python → powershell → C#

  3. 网络通信特征

    • workers.dev域名通信
    • 固定间隔的HTTPS POST请求
    • JSON数据格式+Base64编码载荷

5.2 静态检测特征

  1. 数字证书验证

    • 检查Taiyuan Tataomi Technology Co., Ltd.签名状态
    • 验证证书吊销状态

  2. 字符串特征

    • RC4密钥硬编码模式
    • Cloudflare Workers域名特征
    • 特定的远控指令关键字

5.3 缓解措施

  1. 应用程序控制:限制未知程序的DLL加载行为
  2. 网络过滤:监控workers.dev域名的异常访问
  3. 内存保护:检测反射加载和内存执行行为
  4. 日志审计:加强进程创建和模块加载日志记录

六、IOC信息汇总

6.1 文件哈希

e15decd55971d328e0a404ae14278cbd2aa3c43305e27165565712639a8e94f8
c85a23cddbc9979c0c9c8040218c41b0a0008fee9e60cf8a885f94594eff04ea
b56e1ebd367b0fd66122fd1ff7454f41e23987b143f00340ebc81a73357cf96f
472eb0572e4e63b74b92d40cdc506af1523849a9444973617d4eda402db84733
17aa198d89e3208926c97c05c8960b4085a84dadceffb0d092fee5e0cf29560b
2158b1a74763a2e112fa2531f92c0a8718ad998db55ca1db04f70e7d87a223f9

6.2 网络指标

divine-glitter-cfb4.elena-morales.workers.dev
log-ingest-f1d.nina-alvarez.workers.dev
104.21.90.78
172.67.153.253

6.3 行为特征

  • 公司名称:Taiyuan Tataomi Technology Co., Ltd.
  • 特定目录:C:\ProgramData\Microsoft\SystemWEB\
  • 进程名称:UsbServiceBroker.exe(pythonw.exe)
  • 注册表键:特定安装信息记录

本教学文档详细分析了新型.NET远控木马的技术实现,为安全研究人员提供完整的技术参考和检测方案。

新型.NET远控木马分析教学文档 一、样本概述 1.1 基本信息 样本名称 :RV-tools-4.7.0.1.exe 文件大小 :44817464字节 文件版本 :4.8.0.1 哈希信息 : MD5:288A873227369A421DC7A4148C2D6613 SHA1:7E4C67D4E10D20B4D1AD0F398D4CD6959F663219 SHA256:e15decd55971d328e0a404ae14278cbd2aa3c43305e27165565712639a8e94f8 1.2 数字签名特征 签名主体 :Taiyuan Tataomi Technology Co., Ltd.(太原踏涛米科技有限公司) 状态 :样本曝光后已被证书颁发机构撤销 二、技术特点分析 2.1 跨语言内存加载机制 样本采用多语言混合执行技术,依次加载: Python模块 :通过pythonw.exe执行恶意脚本 PowerShell脚本 :内存中动态加载执行 C#程序集 :通过反射机制内存加载 2.2 文件释放行为 2.2.1 释放目录结构 2.2.2 关键文件哈希对照表 | 文件路径 | MD5 | 性质 | |---------|-----|------| | C:\ProgramData\Microsoft\AppUpdate\appvisvsubsystems64.dll | 1A749E03A80BD8047AE6FAD441BE721D | 恶意 | | C:\ProgramData\Microsoft\AppUpdate\app-systeminfo.py | 16626F5D64940A11067C346AE1F621D7 | 恶意 | | C:\ProgramData\Microsoft\SystemWEB\appvisvsubsystems64.dll | 7A160E20C51755B20FD3147C5BD1A7C7 | 恶意 | | UsbService64.exe(内存释放) | 6A54536BBF5E9C6808065307B3BFBB08 | 恶意 | 2.3 白加黑技术实现 利用方式 :正常WINWORD.EXE加载同目录恶意appvisvsubsystems64.dll 技术原理 :利用系统DLL搜索顺序劫持合法程序执行流程 三、核心功能分析 3.1 UsbService64.exe远控模块 3.1.1 配置信息 3.1.2 通信加密算法 加密方案 :Base64 + RC4双重加密 密钥管理 :硬编码在程序入口参数中 数据格式 :JSON格式传输 3.1.3 远控指令集 | 指令格式 | 功能描述 | |---------|---------| | exit | 退出程序 | | delay time | 设置休眠时间(毫秒) | | byop PowerShell程序集字节数组 PowerShell脚本 | 内存加载PowerShell脚本 | | module cache cachefilename base64data | 保存Base64数据到本地缓存 | | module cache cachefilename url | 从URL下载文件到本地缓存 | | module run cached cachefilename | 加载本地缓存的.NET模块 | | module run base64 base64data | 直接加载Base64编码的.NET模块 | | module run file filename | 加载指定路径的.NET模块 | 3.2 内存加载技术细节 3.2.1 PowerShell加载流程 3.2.2 C#反射加载机制 四、网络通信分析 4.1 C2基础设施 通信域名 : divine-glitter-cfb4.elena-morales.workers.dev log-ingest-f1d.nina-alvarez.workers.dev IP地址 : 104.21.90.78(美国 Cloudflare, Inc.) 172.67.153.253(美国 Cloudflare, Inc.) 技术平台 :Cloudflare Workers无服务器平台 4.2 通信协议分析 4.2.1 上线握手流程 生成16字节随机ID 发送注册信息: register [ID] [COMPUTERNAME] [USERDOMAIN\USERNAME] 示例: register hMSEICw8FcX9Y6Yz DESKTOP-JGLLJLD DESKTOP-JGLLJLD\admin 4.2.2 心跳维持机制 间隔时间 :可配置的休眠时间(默认15秒) 心跳数据 :空Data字段的JSON请求 指令获取 :通过UUID字段标识有效指令 4.3 通信数据解密示例 4.3.1 UsbService64.exe通信解密 五、防御检测建议 5.1 行为检测指标 文件系统监控 异常目录创建: C:\ProgramData\Microsoft\SystemWEB\ 正常程序与异常DLL同目录存放 %TEMP%目录下UsbService64.exe释放执行 进程行为检测 WINWORD.EXE异常加载appvisvsubsystems64.dll pythonw.exe重命名为UsbServiceBroker.exe 多级进程链:exe → dll → python → powershell → C# 网络通信特征 workers.dev域名通信 固定间隔的HTTPS POST请求 JSON数据格式+Base64编码载荷 5.2 静态检测特征 数字证书验证 检查Taiyuan Tataomi Technology Co., Ltd.签名状态 验证证书吊销状态 字符串特征 RC4密钥硬编码模式 Cloudflare Workers域名特征 特定的远控指令关键字 5.3 缓解措施 应用程序控制 :限制未知程序的DLL加载行为 网络过滤 :监控workers.dev域名的异常访问 内存保护 :检测反射加载和内存执行行为 日志审计 :加强进程创建和模块加载日志记录 六、IOC信息汇总 6.1 文件哈希 6.2 网络指标 6.3 行为特征 公司名称:Taiyuan Tataomi Technology Co., Ltd. 特定目录:C:\ProgramData\Microsoft\SystemWEB\ 进程名称:UsbServiceBroker.exe(pythonw.exe) 注册表键:特定安装信息记录 本教学文档详细分析了新型.NET远控木马的技术实现,为安全研究人员提供完整的技术参考和检测方案。