parth-pandit1/remcosrat-analysis

# RemcosRAT 恶意软件分析 🔍 对来自 MalwareBazaar 的真实 RemcosRAT 样本进行静态分析。 ## 环境 - 操作系统：Kali Linux（隔离的 VirtualBox 虚拟机） - 分析前已禁用网络 - 样本从未执行 — 仅限静态分析 ## 我的工作流程 — 逐步进行 ### 步骤 1 — 样本下载 在 Kali Linux 中从 MalwareBazaar 下载： ``` wget "https://bazaar.abuse.ch/sample/ddfff81d.../" -O sample.zip 7z x -pinfected sample.zip ``` ### 步骤 2 — 提取 Hash ``` python3 -c " import hashlib with open('sample.exe', 'rb') as f: data = f.read() print('SHA256:', hashlib.sha256(data).hexdigest()) print('MD5:', hashlib.md5(data).hexdigest()) print('Size:', len(data), 'bytes') " ``` 输出： - SHA256: ddfff81d72e630cb6d8e77e59f362c40b6032d16ed9cd004c7c2e049360b80c0 - MD5: b82ad2590f7b479aa1d2699401ce8b5e - 大小：94,208 字节 - 熵：6.02 ### 步骤 3 — Strings 分析 ``` strings sample.exe | grep -E "(http|cmd|reg|inject)" strings sample.exe | grep -i "(remcos|C&C|connect|backdoor)" strings sample.exe > all_strings.txt wc -l all_strings.txt # 899 strings found ``` ### 步骤 4 — VirusTotal ### 步骤 4 — VirusTotal Hash 检查 复制 SHA256 hash 并粘贴到 virustotal.com： ddfff81d72e630cb6d8e77e59f362c40b6032d16ed9cd004c7c2e049360b80c0 **结果：** - 35/71 个安全供应商检测为恶意 - 检测为：RemcosRAT、Backdoor、RAT、Trojan - 标签：trojan、rat、remcos、c2 **沙盒分析（行为选项卡）：** - C2 域名：afun.it.com、tg77.it.com、yellowred.in - 注册表：HKCU\Software\remcos_uydjlghidfpkwvk - 文件：\AppData\Roaming\remcos\ - 互斥锁：Remcos_Mutex_Inj - 进程：创建了 Backdoor.exe **来自 VirusTotal 的 MITRE ATT&CK：** - T1055 — 进程注入 (Process Injection) - T1056 — 键盘记录器 (Keylogger) - T1113 — 屏幕捕获 (Screen Capture) - T1547 — 开机持久化 (Boot Persistence) ### 步骤 5 — MITRE ATT&CK 映射 手动将发现的结果映射到 ATT&CK 技术 ## 分析发现 ### 发现的功能 | 功能 | 来自 strings 的证据 | |------------|----------------------| | 键盘记录器 | deletekeylog | | 剪贴板窃取 | getclipboard、setclipboard | | 屏幕捕获 | screenshotdata | | 绕过 UAC | EnableLUA、reg.exe | | C2 通信 | "Connected to C&C!" | | 持久化 | CurrentVersion\Run | ### MITRE ATT&CK | ID | 技术 | |----|-----------| | T1055 | 进程注入 (Process Injection) | | T1056 | 输入捕获 - 键盘记录器 (Keylogger) | | T1113 | 屏幕捕获 (Screen Capture) | | T1115 | 剪贴板数据 (Clipboard Data) | | T1112 | 修改注册表 (Modify Registry) | | T1548 | 绕过 UAC (UAC Bypass) | ### IOC **Hash：** - SHA256: ddfff81d72e630cb6d8e77e59f362c40b6032d16ed9cd004c7c2e049360b80c0 - MD5: b82ad2590f7b479aa1d2699401ce8b5e **注册表：** - HKCU\Software\remcos_uydjlghidfpkwvk\EXEpath **互斥锁：** - Remcos_Mutex_Inj **C2 域名：** - afun.it.com - tg77.it.com - yellowred.in ## 使用的工具 - MalwareBazaar — 样本来源 - Python 3 — 计算 hash 和熵 - Linux strings 命令 — 提取字符串 - VirusTotal — 多引擎检测 - 7zip — 提取密码保护的 zip 文件 ## Medium 上的完整报告 https://medium.com/@parthpandit402/remcosrat-malware-analysis-a-complete-static-analysis-report-56c0014a6534 ⚠️ 分析在隔离的 Kali Linux 虚拟机中进行 ⚠️ 提取样本前已禁用网络 ⚠️ 样本从未执行 — 仅限静态分析

标签：DAST, Python, 云安全监控, 云资产清单, 威胁情报, 开发者工具, 恶意软件分析, 无后门, 逆向工程, 静态分析