深度解析SAMBASPY Java远程访问木马的技术架构

本文详细分析了SAMBASPY Java RAT的技术特征,包括其高度混淆机制、Zelix KlassMaster保护、键盘记录、远程桌面控制、浏览器凭据窃取等恶意功能,以及环境检测和C2通信加密等反分析技术。

2024-09-18 SAMBASPY Java RAT样本分析

技术特征概述

SAMBASPY是一种高度混淆的基于Java的远程访问木马(RAT),受到Zelix KlassMaster保护器的保护。该恶意软件支持多种恶意活动,包括:

  • 文件系统和进程管理
  • 键盘记录:使用JNativeHook库实现,在按键释放时将击键记录发送到C2服务器
  • 剪贴板内容控制:通过Java Abstract Window原生库实现
  • 摄像头访问和远程桌面控制:使用Java Robot和GraphicsDevice类
  • 浏览器凭据窃取:针对Chrome、Edge、Brave、Opera等浏览器
  • 远程Shell访问:能够通过URLClassLoader动态加载额外插件,使用addURL()方法调用下载的插件

反检测与反分析技术

SAMBASPY表现出严重的混淆以逃避检测,包括加密字符串以及混淆类名和方法。该恶意软件执行详细的环境检查,避免在虚拟化或沙箱环境中执行,如果语言未设置为意大利语则立即退出。它还对与C2服务器的通信进行加密,增加了分析难度。

攻击者基础设施

某些恶意网站包含巴西葡萄牙语注释,暗示可能与巴西有关联。攻击者反复使用具有新子域名的二级域名,使他们能够在转移操作以逃避检测的同时保持控制。

样本文件信息 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21

├── 43f86b6d3300050f8cc0fa83948fbc92fc69af546f1f215313bad2e2a040c0fa DOCUMENTO pdf
├── 49bbfac69ca7633414172ec07e996d0dabd3f7811f134eecafe89acb8d55b93a jar Dropper
├── 9948b75391069f635189c5c5e24c7fafd88490901b204bcd4075f72ece5ec265 jpg jar Sambaspy
├── SAMBASPY - 附加样本
    ├── 23fcf754156e84559d5640c0fc5f24d536332c3be516202086223528e2b45956 fMBFwZaxLTVpj
    ├── 6e059b017198c588cc5a39e608ca0034438dab953772ed7cd196a1aab1415b63 file jar
    ├── 8025e6b88d96cf77672bb0eed783808778b52074d686fe1f51076ffadae44749 jar
    ├── 8a4fce944f129b1f7bd36ba0076af5a37cd54c45644b155073cbd8a27b6430e8 FACTURE jar
    ├── 8e0c5271cc354d6a9f81f1d09472d8b88209b7afca85358e2c7e034ce0bbec37 daisynuke jar
    ├── 9530d49197932cc7f169dae3f953e00dc9cf3625eb74e0e335701d3e3fd8c8d4 Prodotto png
    ├── 9d7fc389f5c0793a5282da241999069c6e8b09a30efcaace36e76416556c3bbb jar
    ├── b1a61e5a54a61e8dc5feac75023120c29541c1597d82ea689d6246163cd98d75 ElxoxoYytt11893183509316623887 tmp
    ├── bc7d491a4a88b7c214c679433647c92bc5001741672bcfb96574d9b977d8121c Factuur - 2024108393 pdf jar
    ├── c0e73cc26a16a477e6de5e26ea1a61d3504fae6f77a278ae96f621a34405bdc9 aq jar
    ├── cc7632a505300c65c46bc3a0badaaa6b6a99abe148038ecf380ea04eaa6bc14c client jar
    ├── dbaca1975b39161944950812b54c27ed62251a469f8dce82a743d246a6706968 FACTURE jar
    ├── e16f1a38e8ebe14b2243ab62dfcc0596c227987cc6d83b55ef58a046a9fbb2d2 celka jar
    ├── e3578b593437dd7edf5d8a575ad1b05131a067b78e07e1a4677dd5747bdcd056 Imagem jpg jar
    ├── e8cee7472d4d0816da9398e7b49fe742865dd7b629131d120ef3181e3f0849f2 newRat jar
    └── f820670f83310b4d6bb4683ebe140e06449fa40f385dda138c27fa6c47080878 jar
└── d3effd483815a7de1e1288ab6f4fb673b44a129386ef461466472e22140d47f8 zip Downloader

恶意软件存储库链接说明

在过去15年中,随着博客的存在,许多托管提供商由于更严格的无恶意软件政策而停止支持。这导致了链接失效,尤其是在较旧的帖子中。如果您在contagiodump.blogspot.com(或contagiominidump.blogspot.com)上发现失效链接,只需记下URL中的文件名并在Contagio恶意软件存储库中搜索即可。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次