DCRat是一种恶意远控木马工具，利用C#编写的支持多人协作的功能齐全的后门远程工具，该工具提供了多种功能模块，包括文件管理、远程桌面、反向Shell等。在过去的一年中，微步情报局监测到该木马工具常常会被一些黑灰产组织加以利用，该木马工具运行后，不仅会窃取用户电脑中的文件，还会收集用户信息、记录键盘、麦克风和摄像头数据，还能远程控制受害者终端执行任意操作。

DCRat恶意木马软件利用多线程在被攻击的主机上同时执行其恶意行为，它有多种能力来收集数据、窃取信息，甚至执行开发后的有效载荷和插件。

通过审计相关代码，Server端代码中发现该工具的通信方式基于SSL加密通信，导致无法直接通过外部扫描的方式识别Server服务。但在证书中我们找到该工具有效证书的持有者组织名称为DcRat By qwqdanchun，以及证书持有者的组织单位名称：qwqdanchun，相关代码截图如下：

以上特征利用X社区-资产测绘查询分析其证书的颁发者名称为DcRat，证书的使用者名称为：DcRat Server。相关资产测绘查询语法：cert.issuer.org=”DcRat By qwqdanchun” and cert.subject=”DcRat Server”结果如下：

通过证书的颁发者单位信息，对证书颁发者名称进行了聚合分析，发现了一些企业及个人用户基于Dcrat的二次开发软件证书信息，如下为最近一年的数据统计：

进一步分析证书指纹信息，得到证书有效的JA3S特征值：bcf3a836c82d12ee988005fb0c011445，以及在威胁搜索中非常有用TLS证书生成的方式，因为威胁参与者将创建不同的证书，但倾向于使用相同的方法来创建所述证书，从而具有相同的 JA4X 指纹 c9ed8d15cf91_7022c563de38_0147df7a0c11。

基于证书使用者相关信息以及JA3S和JA4X相关指纹信息，采取聚类的方法分析这批已经命中的DCRat资产，在最近一个月中发现相关资产108条，独立IP数量95个；针对这批独立的95个IP地址进行分析，发现其中6个HFS （网络共享文件服务）的应用，如下图资产：

访问其中的一个HFS文件共享WEB应用，发现其中有公开可下载的可执行文件，相关截图如下：

相关样本文件结合微步-S云沙箱进行样本分析发现文件名shellcode.bin为恶意样本，如下图：

结合X社区-资产测绘全网查询HFS共享文件的服务里包含shellcode.bin的文件数据，并结合微步-S云沙箱判断该样本文件均为恶意样本，X社区-资产测绘语法：body=”shellcode.bin” && app=”HFS” 均标注该资产为恶意，如下图：

结合微步威胁情报查询，这批机器大部分同时也被标注为与银狐相关的黑产团伙的基础设施，如下图：

进一步分析这批黑产团伙的资产数据特征，这批资产除了开放以上WEB服务外还均开放了3389的ms-wbt-server(RDP)及msrpc服务，其中查看相关Banner的信息NetBIOS 域名及DNS 计算机唯一名均为：MK01-C6220II-00，如下图：

根据Banner信息为MK01-C6220II-00，继续拓线发现相关资产303条，全部集中在香港地区且与上面黑灰产团伙资产均属于同一个运营商组织为：香港麦嘉雷尔科技有限公司，统计这批IP资产主要集中在几个IP地址段范围，分析资产测绘历史数据发现属于相同地址段IP地址均部署了相同类型的服务。相关资产测绘查询数据如下图：

综上分析，该银狐工具相关的黑产团伙组织的利用机器特征为：

1. 开放HFS共享文件服务

2. 共享文件样本名称为shellcode.bin、大小为2.4 KB

3. 同时开放3389端口服务，NetBIOS 域名及DNS 计算机名均为：MK01-C6220II-00且该团伙未进行样本利用机器资产特征为：3389服务端口信息NetBIOS 域名及DNS 计算机名均为：MK01-C6220II-00。

• 43.129.31.231
• 154.55.172.108
• 154.55.172.101
• 154.55.172.106
• 101.43.228.101
• 42.51.42.55
• 206.238.114.8
• 8b31cb07a0c24edab6b92e55382b7dad3739a44e4afe36a1902576df9db95f2c

网安人不容错过的年度盛会——CSOP 2024 · 北京站，倒计时2天！

原文始发于微信公众号（微步在线研究响应中心）：黑产工具DCRat深入溯源