Билдер за $15: Кто стоит закулисами Celestial RAT?
  • Вступление
    • Сообщение в кофейне
    • Первый блин комом
  • Глубокий анализ
    • Часть 1: RuntimeDecryptor
    • Часть 2: Обход обнаружения
    • Часть 3: CelestialClient
  • Технический анализ
    • Часть 1: Анализ файлов
    • Часть 2: Анализ реестра
    • Часть 3: Загадочный PowerShell
    • Часть 4: Анализ сетевой активности
  • OSINT
    • Часть 1: По следам создателя
    • Часть 2: Выход на продавца
    • Часть 3: Причем тут читеры?
    • Часть 4: Установление личности
    • Часть 5: Социальная инженерия
  • Последний гвоздь в крышку гроба
  • Заключение
Powered by GitBook
On this page
  1. Глубокий анализ

Часть 1: RuntimeDecryptor

PreviousГлубокий анализNextЧасть 2: Обход обнаружения

Last updated 10 months ago

Пришло время углубиться в детали и понять, почему вредоносное ПО отказалось запускаться в виртуальном окружении.

Переносим файл в Detect It Easy (DIE) и видим следующую картину:

Давайте откроем файл в dnSpy — возможно, там мне удастся найти больше информации.

Теперь у нас хотя бы есть понимание, как взаимодействовать с протектором.

Первым делом установим Breakpoint на 14-й строке <Module>.cctor и запустим программу.

Затем откроем вкладку "Модули" и откроем модуль Example.exe из памяти.

Перейдём в <Module>.cctor и в IL-инструкциях изменим инструкцию первого модуля с CALL на NOP. Это позволит нам снять Anti-Tamper защиту.

Отмечаем все возможные галочки в MD Writer Options.

Сохраняем наш файл как Example-cleaned.exe.

Отлично! Анти-тампер защита снята, и теперь я могу свободно исследовать файл, ставить точки останова и анализировать локальные переменные. Это позволит нам понять, по каким векторам вредоносное ПО обнаруживает мою виртуальную машину.

.NET файл, защищённый протектором ConfuserEX версии 1.x
Видим название продукта: RuntimeDecryptor
Конкретная версия протектора: Confuser.Core 1.6.0+447341964f