wmRAT分析
MD5:35639088a2406aa9e22fa8c03e989983
样本分析
多次调用sleep函数绕过沙箱检测。
创建线程获取username computername 磁盘驱动器个数
通过域名microsoft.com获取ip地址
通过c2服务器域名maxdimservice.com获取ip地址85.239.53.31
408460函数获取上线数据包:computername,username,注册表获取的systeminfo ,GetModuleFileNameW获取的样本所在路径,通过||连接起来。
字符串加密密钥0x2d
拼接后的上线数据,为四字节标识码+四字节数据长度+上线数据
之后通过conncet连接c2服务器。
使用microsoft进行网络连接测试,
之后创建两个线程,一个用来接收数据,根据指令执行命令。一共十四种指令
第一次recv接收四个字节的标识,一共14种情况,
通过case 值为0 分析,第二次recv接收数据长度。
之后分配数据长度+1大小的内存,并接收指令数据。
所以数据包的格式为 4字节标识+4字节长度+数据。
另一个线程用来发送心跳包。数据在样本中硬编码。样本连接成功会每隔150.045秒发送心跳包到服务器。
