GhostEmperor 感染链与开发后工具集的技术分析
感染链与技术细节:
-
阶段1:利用 BAT 文件启动安装程序,执行包括AES加密的安装程序。命令行记录错误消息和网络信息至特定目录下的文本文件。BAT文件提供解密密钥参数,便于后期分析障碍。
-
阶段2:安装多个DLL服务,通过MsMp4HwC, AuthSvc, Msdecode等文件名,执行解密注册表项内容并加载代码的进程。服务版本包括.NET和C++,后者提供混淆形式的代码。
-
阶段3:内存植入服务加载器,通过svchost进程执行用户模式有效负载。支持HTTP和TLS协议,身份验证机制(如基本访问认证和Microsoft协商方案),并利用自定义C2配置文件语法进行流量伪装。
-
阶段4:远程控制有效载荷,加载PE映像到内存中执行,通过管道与外部交互,实现远程控制功能,包括远程写入缓冲区、远程桌面控制、任意.NET程序集和PowerShell命令执行。
后开发工具集与命令行使用:
- NBTscan:扫描NetBIOS信息,获取网络中其他计算机的登录用户或IP地址。
- PsExec:远程执行进程,便于在远程系统上实施操作。
- PsList:列出正在运行的进程,用于识别目标系统中的活跃进程。
- ProcDump:转储进程内存,用于提取如LSASS. exe进程中的敏感信息,如密码。
- WinRAR:用于从受感染系统中提取和压缩文件,保护数据隐私,便于上传至C2服务器。
以上分析揭示了GhostEmperor的复杂感染策略及后开发工具集,旨在隐蔽入侵、收集信息、远程控制目标系统,并高效转移数据。
