该恶意软件是一款RAT木马，但是伪装成了开源的小工具PeaZip。研究人员发现恶意软件作者复制了文件信息，使其看起来很像合法的PeaZip软件。分析发现，该恶意软件实际上是一个重打包的Dark Comet RAT木马，本文对该恶意软件进行深入分析并讨论相应的发现。 [出自:jiwo.org]

过去，该恶意软件的一个版本已经攻击过另一个主流的Heaventools的产品PE EXPLORER，本文也将分析其相关性。

首先看一下恶意软件的对比，包括恶意软件二进制文件、配置文件，这些文件主要来自于原始软件。

二进制文件比较

恶意软件配置文件

Heaventools

恶意软件之前已经攻击过PE Explorer，恶意软件通过打包使其看起来很像真实的PE Explorer，并通过钓鱼邮件活动进行传播。

恶意软件打包成Heaventools软件产品

与伪装为Heaventools的PE Explorer的恶意软件代码对比，可以看出PeaRAT中的代码中有很多相似性。一些数据字符串也是相同的，二进制文件的RCData也是相同的。

PeaRAT

在恶意软件中有很多的线索都指向了俄罗斯（至少是说俄语）的MalActor。下面是从二进制文件中提取的一些图标：

通过以上分析就建立了MalActor过去的版本和恶意软件本身的关联。下面对恶意软件进行分析：

下面是从恶意软件中提取的一些模块和函数

User32.dll

GetKeyboardType
CreateWindowExA

Comctl32.dll

_TrackMouseEvent

Urlmon.dll

URLDownloadToFileA

Shell32.dll

ShellExecuteA

Winspool.drv

OpenPrinterA

代码分析

下面进行代码和恶意软件执行过程的分析：

恶意软件是经过打包的，使用的包是ASProtect v1.0。在解包后，恶意软件创建了一个从Music文件夹启动的子进程。

出于分析的目的，下面对创建的子进程进行分析：

从下图可以看出，恶意软件使用基本函数来获取进出栈的数据，并用做后期的处理。

从中可以看出其他RAT类的代码，向栈中推送数据（时间和日期等）：

我们看到一个下入磁盘的文件，下面是代码的执行过程和执行的结果分析：

可以看到，上面看到的内存中的文件现在在磁盘中了：

 这是文件的内容，可以看到计算机上发生的所有活动的日志文件：

下面对图中标号的事件进行分析：

1.通过调试器（Olly）启动进程；

2.复制到剪贴板的值（复制regex来找出memdump中的IP地址）；

3.尝试从开始菜单来启动notepad；

4.在memdump中运行字符串搜索；

5.保存文件；

6.打开恶意进程的特性。

下面看一下代码的网络端：

为了从二进制文件中提取网络IoC，研究人员在网络函数段中插入了内存（读/写）中断。当执行到该区域后，就会中断并看到写入内存的C2 IP地址。

代码成功执行后，该值就会传递给寄存器：

下面的动图就是函数的执行过程：

下面是在被C2访问前传递给栈处理的信息：

 

结论

恶意软件已经通过不同的版本运行了一段时间了，反病毒软件还没有正确的识别出。反病毒软件甚至将恶意软件的早期版本识别为generic、Dynamer、Barys等，但这并不能说明是恶意的。因为MalActor尝试通过合法软件推送恶意软件，因此之后也可能会攻击其他公司的产品。

MalActor有一个非常聪明的动作就是将恶意软件打包为PeaZip。因为PeaZip是一个著名的压缩解压软件，所以可以在同一封钓鱼邮件中捆绑其他恶意软件，并要求受害者来解压附件中的其他恶意软件。

因此，在安装软件之前最好先检查软件的合法性。