Билдер за $15: Кто стоит закулисами Celestial RAT?
  • Вступление
    • Сообщение в кофейне
    • Первый блин комом
  • Глубокий анализ
    • Часть 1: RuntimeDecryptor
    • Часть 2: Обход обнаружения
    • Часть 3: CelestialClient
  • Технический анализ
    • Часть 1: Анализ файлов
    • Часть 2: Анализ реестра
    • Часть 3: Загадочный PowerShell
    • Часть 4: Анализ сетевой активности
  • OSINT
    • Часть 1: По следам создателя
    • Часть 2: Выход на продавца
    • Часть 3: Причем тут читеры?
    • Часть 4: Установление личности
    • Часть 5: Социальная инженерия
  • Последний гвоздь в крышку гроба
  • Заключение
Powered by GitBook
On this page
  1. Глубокий анализ

Часть 3: CelestialClient

PreviousЧасть 2: Обход обнаруженияNextТехнический анализ

Last updated 10 months ago

Однако рано радоваться, программа всё ещё отправляет запрос на , но не запускается.

Переносим файл в Detect It Easy (DIE) и видим знакомую картину:

Открываем файл в dnSpy — как и в прошлый раз, вероятно, найдём больше информации.

Снимаем Anti-Tamper защиту тем же методом, что и в прошлый раз.

Пропустим повторное описание процесса и сразу перейдём к очищенному файлу в dnSpy. Однако, тут я уже без всяких точек останова сталкиваюсь с FailFast.

Как и ранее, ищем, где метод с FailFast используется в коде и ставим там точки останова.

Ожидаемо срабатывает одна из точек останова, но при выполнении следующего шага я снова ловлю FailFast.

Тут я решаю пойти альтернативным путём и ставлю точку останова чуть выше, чтобы не искать метод за методом.

И... Этот подход сработал. После нескольких шагов я обнаруживаю WMI объект, который выдает мою виртуальную машину.

Оказывается, вредоносное ПО ищет слово "basic" в параметре Description объекта Win32_DisplayConfiguration.

Если оно там есть, программа считает, что она запущена в виртуальной среде.

Для подмены создаём файл display_bypass.mof с настройками, клонирующими параметры нашей основной машины на Windows.

Компилируем .mof файл командой mofcomp .\display_bypass.mof.

Пробуем снова пройти проверку, и... Вредоносное ПО запустилось! Ура!

Теперь мы можем спокойно исследовать первоначальную программу.

https://ip-api.com/line/?fields=hosting
.NET файл, защищённый протектором ConfuserEX версии 1.x.
Видим название продукта: CelestialClient
Протектор той же версии: Confuser.Core 1.6.0+447341964f
Обнаружили, что проверяется объект Win32_DisplayConfiguration