RAT结构解析【转】

RAT结构解析

稍微详细的讲述一下 Bifrost,Flux,PoisonIvy 的结构

只说RAT结构演变,其他技术不讨论……

自从Bo出世后。大量的RAT相继出现……

国内熟悉的,冰河,黑洞,PcShare,灰鸽子等……

国外熟悉的 Bifrost,Flux,Assasin,Beast,Bandook,Institution,PoisonIvy 等……

相继有自己的特色,包括程序结构,出现了许多令人惊叹的东西……

[1] 结构简介:

第一代:-EXE独立结构

相对应的,C/S架构:EXE –> EXE

都是EXE的,比如说冰河,黑洞,几乎第一,二代RAT都是。 第二代:DLL分体结构

这代的DLL纯粹是为了穿墙而设计……

利用 Inject Code –> LoadLibrarA 完成DLL载入。

或者注册表,消息钩子等等……

第2.5代:Plugin 型架构

插件结构的RAT大部分功能……

说到插件型RAT,国内只有灰鸽子之流做出这样的东西。

而且纯粹是摆设……

当然还有FWB++

DLL映射注入,相信大家知道 FilePacker,Alloy,MoleBox,PEBundle,将DLL映射到EXE空间里,然后修改导入表跳转地址……

冰河:

单纯的EXE,WIn9x下将自己注册成系统服务隐藏进程……

黑洞,Nuclear Rat,灰鸽子,Spook,风雨江湖,小熊那东东……

都是采用第二代形式……

EXE+DLL……

这代体积都比较庞大……

不管是什么消息钩子

下面主要说说,Bifrost,Flux,Poison Ivy 吧,国内的没啥意思,请原谅我的无理……

本文说的是框架,聊的是自己敢兴趣的东西……

相信也有的朋友对 Bifrost,Flux,Poison Ivy 能这么小的体积感兴趣。 Flux,Bifrost,Poison Ivy 其实都是采用FWB+技术……

但是他们都有一个共通点……

这里算上,C-One V1.0(Caecigenus)

Caecigenus 好牛的,别的不知道,至少他,法文,English,中文都会说…… x140d4n 说他是中国人?还是华人???

C-One 和 Flux 类似,但是编码技术不如 Gargamel 来的 Cool……

Flux,Bifrost,Poison Ivy,C-One 都是前 EES,现在的 ChaseNET 的作品。

[1] C-One 比较简单,先说一下吧:

1.安装自己

2.注入到默认浏览器

浏览器路径由 HKEY_CLASSES_ROOT\HTTP\shell\open\command 获取 由于他没有使用RT32或者EliRT组件库

所以这个RAT不支持Win9x

注入方式也很简单.

VirtualAllocEx

VirtualProtectEx

WriteProcessMemory

CreateRemoteThread

WaitForSingleObject

协议包也很简单(简单的令人发狂,速度慢得要死,还弄了一个既算加密又不算加密的加密算法)

[2] Flux,Bifrost

采用的是原始结构,佩服 Gargamel,ksv 的毅力

居然可以把这么多代码直接用VC写出来,完全代码注入……

和上面的C-One一样,注入方式不过二者都使用了 EliRT 1.01。

不过为了防止被跟踪他们都是先将代码注入 explorer.exe 或者 msgsrv32.exe,然后再次跳转……

当然你熟练操作你的 Debuger Tools 的话很容易就可以注入你想注入的进程,然后去分析他的结构,OD足矣……

特殊的地方,发送指令,执行指令,都是采用同一个Socket,可以多线程操作……

相互之间不会冲突,你可以一边查看桌面,WebCam,还有传输文件,同时还可以干点别的。

可见作者功力之高,国内没有任何一款RAT可以做到如此功能(站长评论:一点都不复杂,区分各种数据包头就行了,完全只用一个sock就行了)……

PcShare 也是使用了HTTP隧道双工,一个功能一个线程,两个Socket。 八大功能的意思就是说,有2*8=16个Socket连接隧道(应该不会这么恐怖吧)。

代码注入没啥好说的,就是经验了,自己跟踪一下就明白了。

Bifrost 的功能比 Flux 多一点,他是如何做到的?

第4 / 7页

插件!Plugin!当然他使用的不是LoadLibraryA来载入DLL的不然你就可以发现了……

用Bo2k的Plugin引入代码,将DLL映射到EXE进程中然后再加载调用…… 很有意思吧(新版本的Poison Ivy据说也采用这个功能……)

Flux的Socket生存能力比Bifrost强一点,体积小一点,但是估计上线的数量不是很多

居然一个I/O输入输出模型都没有使用,汗!

[3]Poison Ivy 恐怖的家伙

以前就对Poison Ivy的结构感觉很神奇,体积这么小巧。

功能还可以这么完善,有点违反”能量守恒定律”难道shapeless技术高到如此境界?

IDA+OD拆了他……

由于几乎所有的API都是自己内存搜索的,不是使用GetProcAddress函数……

自己写的一个Hash函数,Crc32b Hash算法……

OD简单的跟踪了一下,发现Poison Ivy代码有些地方写的并不高明。 代码优化做的完全没有Spirit那么精致。(太精致了~)

代码一点都不优美,但是很容易OD跟踪分析,没有使用代码的编码优化技巧。

为什么说他恐怖,一开始认为和Bifrost一样,传输Plugin插件过去然后再控制……

经过OD三级跳分析后(先注入 Explorer.exe,小心使用OD跟踪下,程序很容易死循环,主要原因在于获取Explorer.exe进程始终返回0!但是他会一直再那里等,直到有Explorer.exe的存在,你可以自己手工跳转+填写Explorer.exe进程PID,设置为自己的记事本或者计算器,这样容易跟踪一些。)

抓包分析+冰刃观察,发现Poison Ivy居然不是传输Plugin做到的,自己观察下发现……

他第一次是直接传输功能代码过去。(数据包是压缩的,没有加密,NTDLL.RtlGetCompressionWorkSpaceSize,RtlCompressBuffer,RtlDecompressBuffer)

压缩数据了,你可以自己Dump出数据包,然后自己解压缩,然后试试看是不是。

都是明文了,效果不错,学习数据包结构了……

呼呼~,我喜欢他们的风格。

由于直接传输功能代码(第二次就不传输了)。

实在是太恐怖了,由于可记录,而且第二次就不需要再传输,所有功能都是本地实现。

想想会如何?哈哈~,是不是感觉很有意思……

和小弟以前做的一个主动功能型RAT一样(反向连接,加文件管理,进程管理功能后只有945字节,nasm写的)

主动功能型?再TT里面第一次看到drocon弄出来的,感觉这小胖子(x140d4n那里的来的消息他胖!)很厉害呀~

drocon现在主要做一些asm代码优化的工作,很不错的一些工作,比较喜欢他的编码风格。

特别是代码优化方面做的真的很不错……

PS:x140d4n啥时带我去见他呀……

接着说:Poison Ivy和Flux,Bifrost有一些不同。

支持文件多线程多文件同时传输,为了保证Socket的稳定性,他在文件传输时使用了多个Socket进行传输,其他的还是保留独立Socket。

同样采用多线程操作,但是似乎主控段的上线率不是很高,而且没有使用Thread Pool,所以线程切换浪费了太多的时间……

你可以观察一下,用冰刃打开注入进程,你每次刷新一下目录或者操作一次,是不是程序就多出一个线程?

哈哈~,而且Poison Ivy还有许多地方不太完善,但是现在变成VIP版本了,没有多少机会分析了。

唉~,谁让人家老外福利好呢,在家没事写东西卖钱,谁给我钱我也天天在家写……,乎乎~~

综上的结构看来,是不是感觉Poison Ivy代码是如何实现的还是一头雾水?

1.被控端连接主控段。

2.主控段发送主动功能代码给被控端。

3.被控端新建一块内存保存主动功能代码。这里有个BUG,当主控段重复发送功能代码的时候,他会不去释放直接申请内存保留主动功能代码……,居然都不释放,呼呼~

4.然后当主控段再次发送控制指令的时候,被控端,开始调用一开始接受的主动功能性代码。新建线程执行的,所以造成了大量的空余线程,似乎都没有使用CloseHandle关闭??

5.还有什么好说的?自己Dump,然后看数据包吧……

转载保留版权,Anskya@Gmail.com,http://www.famdiy.com/。

此条目发表在经验技术分类目录。将固定链接加入收藏夹。