PureCrypter是一个使用C#编写的MaaS型Loader，自2021年3月出现以来一直活跃，能够传播包括Formbook、SnakeKeylogger、AgentTesla、Redline、AsyncRAT等在内的多个恶意家族。该家族拥有丰富的推广资源，使用上百个C2域名和IP地址，并采用图片名后缀结合倒置、压缩和加密等方式躲避网络检测。PureCrypter的推广行为传播链条普遍较长，多数会使用前置protector，甚至搭配其它loader，检测难度较大。

🤖 PureCrypter是一款使用C#编写的loader，至少2021年3月便已出现，能传播任意的其它家族。它采用package机制，由两个可执行文件组成：downloader和injector，它们都使用C#编写。downloader负责传播injector，后者释放并运行最终的目标家族二进制文件。downloader模块相对简单，样本混淆程度较低，而injector则使用了loader里常见的奇技淫巧，比如2进制混淆、运行环境检测、启动傀儡进程等。

🕵️ PureCrypter今年持续活跃，已经传播了包括Formbook、SnakeKeylogger、AgentTesla、Redline、AsyncRAT等在内的10多个恶意家族。该家族的作者拥有较多的推广资源，我们检测到的C2域名和IP多达上百个，并喜欢使用图片名后缀结合倒置、压缩和加密等方式躲避网络检测。

⛓️ PureCrypter的推广行为传播链条普遍较长，多数会使用前置protector，甚至搭配其它loader，检测难度较大。例如，在一些破解软件中，downloader模块通过Bat2Exe捆绑到前者进行传播。此外，还存在VBS和powershell脚本loader，以及结合Godzilla前置loader等多种方式。

📈 PureCrypter的传播情况可以用下图总结：...

⚠️ 我们对PureCrypter的传播活动一直有较好的检测，会第一时间将C2等威胁信息添加到我们的威胁情报库中。后续我们会继续保持关注，及时更新最新的威胁信息。

在我们的日常botnet分析工作中，碰到各种loader是常事。跟其它种类的malware相比，loader的特殊之处在于它主要用来“推广”，即在被感染机器上下载并运行其它的恶意软件。根据我们的观察，大部分loader是专有的，它们和推广的家族之间存在绑定关系。而少数loader家族会将自己做成通用的推广平台，可以传播其它任意家族，实现所谓的malware-as-a-service（MaaS）。跟专有loader相比，MaaS类型显然更危险，更应该成为我们的首要关注目标。本文介绍我们前段时间看到的一个MaaS类型的loader，它名为PureCrypter，今年非常活跃，先后推广了10多个其它的家族，使用了上百个C2。因为zscaler已经做过详细的样本分析，本文主要从C2和传播链条角度介绍我们看到的PureCrypter传播活动，分析其运作过程。本文要点如下：PureCrypter是一款使用C#编写的loader，至少2021年3月便已出现，能传播任意的其它家族。PureCrypter今年持续活跃，已经传播了包括Formbook、SnakeKeylogger、AgentTesla、Redline、AsyncRAT等在内的10多个恶意家族。PureCrypter作者拥有较多的推广资源，我们检测到的C2 域名和IP多达上百个。PureCrypter作者喜欢使用图片名后缀结合倒置、压缩和加密等方式躲避网络检测。PureCrypter的推广行为传播链条普遍较长，多数会使用前置protector，甚至搭配其它loader，检测难度较大。总的来说，PureCrypter的传播情况可以用下图总结：下面从样本分析和典型传播案例角度做一介绍。样本分析PureCrypter使用了package机制，由两个可执行文件组成：downloader和injector，它们都使用C#编写，其中downloader负责传播injector，后者释放并运行最终的目标家族二进制文件。实际操作时，攻击者通过builder生成downloader和injector，然后先设法传播downloader，后者会在目标机器上下载并执行injector，再由injector完成其余工作。从代码逻辑上看，downloader模块相对简单，样本混淆程度较低，没有复杂的环境检测和持久化等操作，而injector则使用了loader里常见的奇技淫巧，比如2进制混淆、运行环境检测、启动傀儡进程等，下面是结合实际的例子简单介绍下downloader和injector。downloader模块该模块直接调用WebClient的DownLoadData方法进行HTTP下载，没有设置单独的HTTP header。injector的uri通常也是明文保存，下面是一个下载经过倒置处理的样本的变种的例子，从解析代码能看出来HTTP payload做了倒置处理。在末尾可发现明显的被倒置的PE Header。最后通过Assembly.Load加载恢复好的injector（.DLL文件），调用明文编码的入口方法，进入下一阶段。PureCrypter对injector下载保护这块相对简单，目前看除了上面提到的倒置（reverse）编码外，还有 gzip压缩、对称加密等方式，这种编码是固定的，即builder在生成downloader和injector时就已经确定好编码方式，不存在运行动态改变的情况。下面是使用使用gzip压缩后传输injector的例子，在流量开头可以发现GZip的magic header：1F 8B 08 00。我们还碰到过使用AES加密的例子。除了AES，PureCrypter还支持使用DES、RC4等加密算法。injector模块如果分析还原好的injector，会发现普遍做了混淆处理，差别只是混淆程度的大小。下面是一例SmartAssembly混淆并且资源部分被加密的injector：如上图所示，首先通过Reverse + GZip + Protubuf.Deserialize组合拳，获取相关配置信息，之后是根据配置检查运行环境、对抗沙箱、创建互斥体、持久化等，最后从资源中获取payload加载运行。该样本没有进入任何一个if语句，很快到了最后一个重要函数，该函数主要实现最终payload的注入。根据配置的不同存在4种注入方式，傀儡进程（Process Hollowing）是被最多使用的方式。最终payload存储在资源中，解密后的资源如下图：经过Reverse + GZip解压缩后创建傀儡进程启动最终的payload。上面最终推广的payload为AgentTesla，其配置信息如下：host: raphaellasia.comport:587username: origin@raphaellasia.compwd: student@1980to: origin2022@raphaellasia.com意外发现PureCrypter喜欢将injector伪装成图片供downloader下载，图片名比较随机，具有明显机器生成的特点。下面是实际检测到的一些图片名。# pattern 1/dl/0414/net_Gzhsuovx.bmp/dl/0528/mars2_Hvvpvuns.bmp/dl/0528/az_Tsrqixjf.bmp# pattern 2/040722/azne_Bvaquebo.bmp/04122022/net_Ygikzmai.bmp/04122022/azne_Jzoappuq.bmp/04122022/pm_Dxjlqugu.bmp/03252022/azne_Rmpsyfmd.bmp# pattern 3/Rrgbu_Xruauocq.png/Gepstl_Mouktkmu.bmp/Zhyor_Uavuxobp.png/Xgjbdziy_Kglkvdfb.png/Ankwgqtwf_Bdevsqnz.bmp/Osgyjgne_Ymgrebdt.png/Rrgbu_Xruauocq.png/Gepstl_Mouktkmu.bmp/Osgyjgne_Ymgrebdt.png/Osgyjgne_Ymgrebdt.png/Zhyor_Uavuxobp.png在对多个样本进行分析后，我们发现请求的图片名与downloader的AssmblyName存在对应关系。图片名AssmblyNameBelcuesth_Ipdtbadv.pngBelcuesthKzzlcne_Prgftuxn.pngKzzlcnenewminer2_Jrltkmeh.jpgnewminer2Belcuesth_Ipdtbadv.pngBelcuesthNykymad_Bnhmcpqo.bmpNykymadmy_ori_Ywenb_Yzueqpjp.bmpmy ori Ywenb下划线后面的内容总是符合正则表达式[A-Z][a-zA-Z]{7}基于这个发现可以结合样本和网络请求两个维度的数据确认PureCrypter的下载行为。C2和传播分析PureCrypter今年一直在活跃，我们先后检测到的C2 域名和IP有200多个，传播的家族数10多种。在我们看到的案例中，传播链条普遍比较长，PureCrypter的downloader模块经常跟各种其它类型的前置downloader配合使用。因为C2太多，这里主要以185.215.113.89 为例从规模和传播手法方面做一个介绍。C2分析这个C2在我们检测到的C2中活跃度比较高，其活跃时间为今年4月中旬到6月初，如下图所示。其活跃程度可以用我们的图系统直观反映出来。能看到它关联到了比较多的域名和IP，下面是该IP在这段时间的部分域名解析情况。2022-04-14 22:47:34 2022-07-05 00:42:16 22 rockrock.ug A 185.215.113.89 2022-04-21 08:22:03 2022-06-13 09:17:50 15 marnersstyler.ug A 185.215.113.89 2022-04-17 03:17:41 2022-06-10 04:31:27 2538 qwertzx.ru A 185.215.113.89 2022-04-24 02:16:46 2022-06-09 00:11:24 3 hubvera.ac.ug A 185.215.113.89 2022-04-15 23:47:43 2022-06-08 19:24:59 43 timekeeper.ug A 185.215.113.89 2022-04-15 11:34:35 2022-06-08 19:24:59 35 boundertime.ru A 185.215.113.89 2022-04-14 23:01:50 2022-06-08 15:33:25 24 timebound.ug A 185.215.113.89 2022-04-15 21:58:54 2022-06-08 05:43:21 7 www.rockrock.ug A 185.215.113.89 2022-04-16 20:50:41 2022-06-08 01:44:01 54 beachwood.ug A 185.215.113.89 2022-04-23 16:23:41 2022-06-07 18:30:51 5 asdsadasrdc.ug A 185.215.113.89 2022-05-02 22:35:40 2022-06-07 04:34:12 17 leatherlites.ug A 185.215.113.89 2022-05-29 17:46:00 2022-06-07 03:50:36 3 underdohg.ac.ug A 185.215.113.89 2022-04-15 22:34:53 2022-06-07 03:33:10 18 rockphil.ac.ug A 185.215.113.89 2022-04-15 03:09:13 2022-06-07 03:19:50 14 pdshcjvnv.ug A 185.215.113.89 2022-04-15 03:04:12 2022-06-07 03:12:04 16 mistitis.ug A 185.215.113.89 2022-04-16 03:08:46 2022-06-07 03:08:48 18 nicoslag.ru A 185.215.113.89 2022-04-19 02:33:31 2022-06-07 02:37:08 16 danwisha.ac.ug A 185.215.113.89 2022-05-28 23:56:02 2022-06-05 05:14:50 7 underdohg.ug A 185.215.113.89 2022-05-10 14:44:28 2022-06-02 17:40:12 24 jonescourtney.ac.ug A 185.215.113.89 2022-06-02 07:44:25 2022-06-02 07:44:25 1 triathlethe.ug A 185.215.113.89 2022-04-24 03:05:38 2022-06-01 16:54:59 2191 qwertasd.ru A 185.215.113.89 2022-04-17 09:34:27 2022-06-01 01:42:07 2 partaususd.ru A 185.215.113.89 2022-04-25 00:08:53 2022-05-31 07:17:00 5 timecheck.ug A 185.215.113.89 2022-04-21 02:36:41 2022-05-31 01:20:37 21 courtneyjones.ac.ug A 185.215.113.89 2022-04-16 19:09:02 2022-05-31 01:02:02 14 marksidfgs.ug A 185.215.113.89 2022-04-25 03:01:15 2022-05-30 03:04:29 10 mofdold.ug A 185.215.113.89 2022-04-15 02:36:21 2022-05-30 02:32:53 17 check-time.ru A 185.215.113.89 2022-04-18 02:21:26 2022-05-30 02:22:30 17 agenttt.ac.ug A 185.215.113.89 2022-04-17 03:17:46 2022-05-29 03:17:26 15 qd34g34ewdfsf23.ru A 185.215.113.89 2022-04-19 02:25:06 2022-05-29 02:22:57 14 andres.ug A 185.215.113.89 2022-04-16 02:27:44 2022-05-29 02:22:47 16 asdasgs.ug A 185.215.113.89 第3列为访问量，不同域名访问量有差别，整体评估应该在千级，而这只是我们看到的众多C2中的一个。通过关联分析，我们发现185.215.113.89经常跟62.204.41.69(3月)和45.143.201.4（6月）这两个C2配合使用，它们关系可以用下图关联。传播分析PureCrypter采用了downloader+injector的双模块机制，前者被传播后再传播后者，相当于在传播链条上增加了一环，加上作者惯用图片名后缀、编码传输等手段隐藏injector，这些本身就已足够复杂。而作者在downloader传播这块也下了不少功夫，我们看到的有通过bat2exe捆绑破解软件的方式、使用VBS和powershell脚本loader的方式、结合Godzilla前置loader等多种方式，这些操作叠加起来的结果就是PureCrypter的传播链条普遍较深较复杂。在5月份我们甚至发现通过PureCrypter传播Raccoon，后者进一步传播Azorult、Remcos、PureMiner、PureClipper的案例。下面介绍几个典型传播手法。这个主要在一些破解软件上有见到，downloader模块通过Bat2Exe捆绑到前者进行传播。实际运行时保存在资源中的恶意文件被释放到tmp目录下，通过start.bat来触发运行。释放在tmp目录下的文件形如下图：start.bat命令形如：在我们分析的案例中，.lnk文件被用来启动powershell执行恶意命令。Powershell解码出一个base64编码的VBS loader：VBS loader进一步释放一个downloader，并通过shellcode运行后者。该downloader的敏感信息都保存在资源中，包括进程名和download url，如下图所示。根据运行后的进程名将该downloader命名为Meteorite，上图中的url就对应PureCrypter的downloader模块，完整的通信过程如下图：最终payload为Mars Stealer，c2: rockrock.ug/gggate.php，配置信息如下:2，“VBS/Powershell + PureCrypter” 传播PureMiner涉及的C2为 89.34.27.167，入口为一个VBS脚本或者Powershell脚本，下面是VBS脚本的例子。网络通信流量如下：Powershell脚本如下：Powershell脚本下载并运行PureCrypter的downloader模块，后者继续下载injector，这里比较特殊的是使用Discord来分发injector:最终的payload为PureMiner，C2如下:185.157.160.214pwn.oracleservice.toppwn.letmaker.topport: 8080, 84443，利用未知.NET downloader传播 AgentTesla、RedLine该downloader家族未知，其运行时同样分为多个阶段，其中stage0模块负责加载资源中的stage1恶意模块：stage1模块运行后会继续加载下一阶段模块stage2：stage2模块也是一个Crypter(暂未命名)，与PureCrypter不同，他还提供了下载功能，用来下载恶意PureCrypter的downloader模块，即图中的puty.exe。从资源中异或解密恶意软件，key为bnvFGkCKlnhQ，相关算法如下：因此实际传播了两个家族：stage2的payload为AgentTesla，c2为 https[:]//api.telegram.org/bot5421147975:AAGrsGnLOHZfFv7yHuj3hZdQSOVmPodIAVI/sendDocumentPureCrypter的payload为RedLine，c2为IP: workstation2022.ddns.net:62099ID: cheat总结PureCrypter是一个仍在活跃的MaaS类型的botnet，已经传播了10多种影响比较大的其它恶意家族。PureCrypter的传播手法普遍比较复杂，其背后应该存在至少一个比较专业的黑产组织，他们拥有较多的技术、域名和IP资源，预计今后会继续传播其它的恶意家族。我们对PureCrypter的传播活动一直有较好的检测，会第一时间将C2等威胁信息添加到我们的威胁情报库中。后续我们会继续保持关注，及时更新最新的威胁信息。联系我们感兴趣的读者，可以在 twitter 或者通过邮件netlab[at]360.cn联系我们。IOCMD5Family NameMD5Bat2Exe Downloader424ed5bcaae063a7724c49cdd93138f5VBS downloader3f20e08daaf34b563227c797b4574743Powershell downloaderc4c5167dec23b6dd2d565cd091a279e4未知.NET Downloader9b70a337824bac612946da1432295e9cC2 &URLagenttt.ac.ugandres.ugasdasgs.ugasdsadasrdc.ugbeachwood.ugboundertime.rucheck-time.rucourtneyjones.ac.ugdanwisha.ac.ughopeforhealth.com.phhubvera.ac.ugjonescourtney.ac.ugleatherlites.ugmarksidfgs.ugmarnersstyler.ugmistitis.ugmofdold.ugmomomolastik.ugnicoslag.rupartaususd.rupdshcjvnv.ugqd34g34ewdfsf23.ruqwertasd.ruqwertzx.ruraphaellasia.comrockphil.ac.ugrockrock.ugtimebound.ugtimebounder.rutimecheck.ugtimekeeper.ugtriathlethe.ugunderdohg.ac.ugunderdohg.ugwww.rockrock.ug212.192.246.19537.0.11.164:808080.66.75.12389.34.27.16791.243.44.142185.215.113.8962.204.41.6945.143.201.4https://cdn.discordapp.com/attachments/994652587494232125/1004377750762704896/ps1-6_Hjuvcier.png