RAM运行的轻量级远程访问木马分析

样本
这是一个轻量且隐蔽性高的远程访问木马，从github上开源下载的。经过编译后得到，所以没有加载程序。它可以完全运行在RAM中，避免被检测。

内存转储
该项目是用VB .NET开发的，占用44 KB的磁盘空间
对感染设备上属于该恶意软件的PID进行了内存转储，发现该RAT大小为44KB，已使用系统中130.45MB的 RAM空间。
在检查导入的DLL时，观察到只有mscoree.dll在磁盘上被使用。这是程序使用的，因为该恶意软件运行在.NET框架上。
当检查进程内存转储时，发现使用了几个显著的 DLL，例如 fastprox.dll、wbemcomn.dll、rpcrtremote.dll、rasman.dll、System。

检测到 Net.Http.ni.dll 及其他许多内容。

值得注意的是，虽然在磁盘上仅可见 mscoree.dll 的使用，但在内存中使用此类 DLL 表明恶意软件正在内存中进行所有恶意活动。它在磁盘上看起来像干净软件的事实帮助恶意软件躲避杀毒程序的检测。

恶意行为

在分析代码结构时，确定该恶意软件在内存中执行基于字符串的代码，并将必要的 DLL 加载到内存中。观察到这些 DLL 是合法的（legit）DLL，存在于磁盘上并转移到内存中。

网络操作
在内存中观察到Base64格式的编码。在资源中已识别出内存中执行的代码，它们都以=的形式存在。

Check 变量中的 Base64 编码代码已被解码，分析将继续进行对该代码结构的检查。
当 Check 变量中的 Base64 编码的 C#代码被解码时，它揭示了与网络相关的结构，其中 HTTP 请求被发送到 C2 服务器，响应以 JSON 格式返回。screenshot 变量充当一个标志，如果被服务器修改，则向客户端发出信号，捕获并将屏幕截图发送到 C2。然而，这个结构中没有屏幕截图捕获代码。

防御规避