[原创]记一次蔓灵花APT组织针对巴基斯坦定向攻击的样本分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]记一次蔓灵花APT组织针对巴基斯坦定向攻击的样本分析

发表于: 2019-2-6 22:16 14112

[原创]记一次蔓灵花APT组织针对巴基斯坦定向攻击的样本分析

CrazymanArmy 活跃值

2019-2-6 22:16

14112

萌新第一次发帖,请各位dalao海涵

近日蔓灵花APT组织对巴基斯坦进行一次定向攻击

因为微步在线情报的dalao已经写过了，连接在这里【微步在线报告】“蔓灵花”团伙发起新一轮攻击活动

我这个弱鸡就分享一下我的分析记录吧

样本一开始文件名是:Update Required Case Enq No 192_2018.docx.com

稍微吐槽一下,我也不知道为啥APT组织这么想的

.com后缀的欺骗太容易看出来了

样本截图如下：（笔者没勾去隐藏文件后缀名）

用到的方法是文件后缀名欺骗

笔者查一下壳子

该程序应该由c编写的而且通过这个能看出这是一个WinMain入口的win32GUI程序

那我们载入IDA开始分析

我们可以看到其pdb_path

经过笔者分析这个Update Required Case Enq No 192_2018.docx.com是一个DownLoader下载者木马

这个初始化加载模块实现了将自身加到注册表启动项,以及将自己本体文件拷贝到C:\intel下

载入IDA后可以看到入口的WinMain函数

Sub_401140函数里面的窗口回调函数如图，并没有任何问题

调用ShowWindow函数将程序窗口设为隐藏,以达到隐蔽运行的目的

那我们工作的重点是分析sub_401330函数

调用mkdir函数创建文件夹C:\intel

Sub_401F00函数:通过修改注册表HKEY_CURRENT_USER\Environment项

增加%AppId%键,键值为:C:\intel\msdtcv.exe

就是注册环境变量%AppId%为C:\intel\msdtcv.exe

Sub_401F00函数内容具体如图:

调用CreateThread创造线程,线程回调函数 StratAdress

Paramter为:

线程回调函数StartAddress分析:主要是创造与cmd.exe的进程通信,用WriteFile函数向匿名管道中写入一段cmd命令(copy 源文件路径 C:\intel\msdtcv.exe),然后让cmd.exe执行将木马自身文件(Update Required Case Enq No 192_2018.docx.com)复制到C:\intel\msdtcv.exe

解密出环境变量%ComSpec%

获取环境变量%ComSpec%的路径

得到结果:cmd的路径

建立与cmd.exe的匿名管道进行通讯,并创立子进程cmd.exe

调用WriteFile函数向cmd.exe写入copy指令实现复制文件

如下图所示:

打开注册表启动项(HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run)

判断启动项是否存在如果存在不重新写启动项,不打开木马文件转向下面执行

如果不存在则调用CreateThread创建线程sub_404670来写入开启启动项然后退出进程

将后续工作交给msdtcv.exe这个文件(不就是他自己吗)

线程sub_404670如下图:

打开注册表(HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run)

判断是否存在msdtcv键,如果不存在则创建msdtcv键,写入cmd /c start %AppId% && exit键值关闭注册表

若存在则直接退出线程。

当初始化模块结束后,完成文件重命名复制以及注册表自启动后

msdtcv.exe随即启动,按照初始化模块的操作进行了一遍检查后

开始与C&C服务器进行交流

从下图我们可知,写了一个死循环一直获取从C&C服务器回显的指令。

获取主机名称

获取系统版本信息

木马与C&C的交流

Sub_402ba0函数

通过C&C服务器域名:framworksupport.net来获取ip:162.222.215.90,端口:80 建立socket连接

向C&C服务器发送上线信息以及请求下一步指令的报文

报文如下

下载攻击者的指定文件

执行下载文件（文件地址如图）

再次进行信息发送以及接收回显

发送信息以及下一步请求

接收回显

由于C&C的那个木马下载的页面不能正常访问,木马也不能被下载,所以笔者没办法对下一步木马的操作进行分析

首先看看VT的查杀情况

截止发帖的今天已经有46款杀毒软件查杀此木马

微步云沙箱的结果

恶意行为:

低危行为:

这个收集系统相关硬件的指纹信息这部分应该在sub_4037B0函数中
笔者没有进行详细的分析,同样也有很多混淆,那就请有兴趣的读者自己练手了哟。

程序流程图:

木马C&C服务器域名:

反查一下域名可见这个域名是在2019-1-04注册的而且与之通讯的样本有两个

其中一个是笔者分析的这个在2019/01/17被捕获

另一个2019/01/09被捕获的样本,笔者调出了微步云沙箱的记录

经过比对后,发现这两个样本的pdb_path相同

程序运行流程图也很类似

这就有很大的可能这两个样本出自一人之手

那这个木马也就这么告一段落了

笔者其实也有一些地方看得不是很明白,而且有的地方描述的也不是很清楚,如果各位读者dalao能看出笔者文中的不对以及描述不清楚的地方请在评论区提出来,十分感谢

笔者把样本放到了附件,请各位有心气的读者自行逆向分析

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2019-2-7 21:56 被CrazymanArmy编辑，原因：将文中的一些错误进行订正

#病毒木马

上传的附件：

蔓灵花APT样本(解压密码APT).rar （12.72kb，101次下载）

收藏・14

免费・7

支持

打赏 + 1.00雪花

啊啊啊妾

打赏次数 1

雪花 + 1.00

啊啊啊妾

+1.00

2019/02/11

不错不错，微步在线的大门向你们敞开~

最新回复 (19)
MUSYIDA 雪币： 242 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	MUSYIDA 2 楼 dalao很厉害 2019-2-8 20:22 0
天析雪币： 55 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	天析 3 楼不愧是大佬最后于 2019-2-8 21:49 被天析编辑，原因： 2019-2-8 21:48 0
天析雪币： 55 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	天析 4 楼大佬太优秀了 2019-2-8 21:48 0
Pzai 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Pzai 5 楼支持一下大佬= = 2019-2-8 21:49 0
kennys弟中弟雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	kennys弟中弟 6 楼 dalao 2019-2-8 21:52 0
一半人生雪币： 2157 活跃值： (12639) 能力值： ( LV12，RANK：312 ) 在线值：发帖 26 回帖 390 粉丝 195 关注私信	一半人生 5 7 楼 i春秋逆向版主逻辑思路都很不错 2019-2-9 08:50 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 8 楼这种后缀的文件能直接运行? 2019-2-9 09:27 0
CrazymanArmy 雪币： 9792 活跃值： (1675) 能力值： ( LV12，RANK：261 ) 在线值：发帖 7 回帖 39 粉丝 29 关注私信	CrazymanArmy 2 9 楼 killpy 这种后缀的文件能直接运行? 能的,毕竟原来就是exe后缀,只是改了一个后缀而已不影响运行 2019-2-9 22:05 0
CrazymanArmy 雪币： 9792 活跃值： (1675) 能力值： ( LV12，RANK：261 ) 在线值：发帖 7 回帖 39 粉丝 29 关注私信	CrazymanArmy 2 10 楼 ....... 最后于 2019-2-9 22:08 被CrazymanArmy编辑，原因： 2019-2-9 22:05 0
CrazymanArmy 雪币： 9792 活跃值： (1675) 能力值： ( LV12，RANK：261 ) 在线值：发帖 7 回帖 39 粉丝 29 关注私信	CrazymanArmy 2 11 楼理想小青年 i春秋逆向版主逻辑思路都很不错竟然被你发现了 2019-2-9 22:08 0
IamHuskar 雪币： 1392 活跃值： (5182) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 12 楼 youxiu 2019-2-11 13:04 0
DWwinter 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 121 粉丝 0 关注私信	DWwinter 13 楼赞一个 2019-2-11 15:37 0
啊啊啊妾雪币： 4 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	啊啊啊妾 14 楼发到我们微步在线情报社区来啊~ 2019-2-11 21:01 0
myangel 雪币： 1795 活跃值： (63) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 334 粉丝 1 关注私信	myangel 15 楼啊啊啊妾 [em_63]发到我们微步在线情报社区来啊~ 发现微步在线的大佬 2019-2-12 17:40 0
myangel 雪币： 1795 活跃值： (63) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 334 粉丝 1 关注私信	myangel 16 楼不错，很详细最后于 2019-2-12 17:40 被myangel编辑，原因： 2019-2-12 17:40 0
CrazymanArmy 雪币： 9792 活跃值： (1675) 能力值： ( LV12，RANK：261 ) 在线值：发帖 7 回帖 39 粉丝 29 关注私信	CrazymanArmy 2 17 楼 myangel 不错，很详细谢谢 2019-2-12 21:05 0
CrazymanArmy 雪币： 9792 活跃值： (1675) 能力值： ( LV12，RANK：261 ) 在线值：发帖 7 回帖 39 粉丝 29 关注私信	CrazymanArmy 2 18 楼 IamHuskar youxiu[em_63] 谢谢大佬 2019-2-12 21:05 0
Editor 雪币： 26205 活跃值： (63302) 能力值： (RANK：135 ) 在线值：发帖 1611 回帖 4397 粉丝 1776 关注私信	Editor 19 楼感谢分享！ 2019-2-13 13:58 0
XCCCC 雪币： 2047 活跃值： (171) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 5 粉丝 1 关注私信	XCCCC 20 楼感谢分享！ 2019-2-15 08:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

CrazymanArmy

发帖

回帖

261

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
MUSYIDA 雪币： 242 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	MUSYIDA 2 楼 dalao很厉害 2019-2-8 20:22 0
天析雪币： 55 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	天析 3 楼不愧是大佬最后于 2019-2-8 21:49 被天析编辑，原因： 2019-2-8 21:48 0
天析雪币： 55 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	天析 4 楼大佬太优秀了 2019-2-8 21:48 0
Pzai 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Pzai 5 楼支持一下大佬= = 2019-2-8 21:49 0
kennys弟中弟雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	kennys弟中弟 6 楼 dalao 2019-2-8 21:52 0
一半人生雪币： 2157 活跃值： (12639) 能力值： ( LV12，RANK：312 ) 在线值：发帖 26 回帖 390 粉丝 195 关注私信	一半人生 5 7 楼 i春秋逆向版主逻辑思路都很不错 2019-2-9 08:50 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 8 楼这种后缀的文件能直接运行? 2019-2-9 09:27 0
CrazymanArmy 雪币： 9792 活跃值： (1675) 能力值： ( LV12，RANK：261 ) 在线值：发帖 7 回帖 39 粉丝 29 关注私信	CrazymanArmy 2 9 楼 killpy 这种后缀的文件能直接运行? 能的,毕竟原来就是exe后缀,只是改了一个后缀而已不影响运行 2019-2-9 22:05 0
CrazymanArmy 雪币： 9792 活跃值： (1675) 能力值： ( LV12，RANK：261 ) 在线值：发帖 7 回帖 39 粉丝 29 关注私信	CrazymanArmy 2 10 楼 ....... 最后于 2019-2-9 22:08 被CrazymanArmy编辑，原因： 2019-2-9 22:05 0
CrazymanArmy 雪币： 9792 活跃值： (1675) 能力值： ( LV12，RANK：261 ) 在线值：发帖 7 回帖 39 粉丝 29 关注私信	CrazymanArmy 2 11 楼理想小青年 i春秋逆向版主逻辑思路都很不错竟然被你发现了 2019-2-9 22:08 0
IamHuskar 雪币： 1392 活跃值： (5182) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 12 楼 youxiu 2019-2-11 13:04 0
DWwinter 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 121 粉丝 0 关注私信	DWwinter 13 楼赞一个 2019-2-11 15:37 0
啊啊啊妾雪币： 4 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	啊啊啊妾 14 楼发到我们微步在线情报社区来啊~ 2019-2-11 21:01 0
myangel 雪币： 1795 活跃值： (63) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 334 粉丝 1 关注私信	myangel 15 楼啊啊啊妾 [em_63]发到我们微步在线情报社区来啊~ 发现微步在线的大佬 2019-2-12 17:40 0
myangel 雪币： 1795 活跃值： (63) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 334 粉丝 1 关注私信	myangel 16 楼不错，很详细最后于 2019-2-12 17:40 被myangel编辑，原因： 2019-2-12 17:40 0
CrazymanArmy 雪币： 9792 活跃值： (1675) 能力值： ( LV12，RANK：261 ) 在线值：发帖 7 回帖 39 粉丝 29 关注私信	CrazymanArmy 2 17 楼 myangel 不错，很详细谢谢 2019-2-12 21:05 0
CrazymanArmy 雪币： 9792 活跃值： (1675) 能力值： ( LV12，RANK：261 ) 在线值：发帖 7 回帖 39 粉丝 29 关注私信	CrazymanArmy 2 18 楼 IamHuskar youxiu[em_63] 谢谢大佬 2019-2-12 21:05 0
Editor 雪币： 26205 活跃值： (63302) 能力值： (RANK：135 ) 在线值：发帖 1611 回帖 4397 粉丝 1776 关注私信	Editor 19 楼感谢分享！ 2019-2-13 13:58 0
XCCCC 雪币： 2047 活跃值： (171) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 5 粉丝 1 关注私信	XCCCC 20 楼感谢分享！ 2019-2-15 08:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复