首页
社区
课程
招聘
[原创]记一次纯脚本载荷攻击的样本分析
发表于: 2019-7-8 11:13 29480

[原创]记一次纯脚本载荷攻击的样本分析

2019-7-8 11:13
29480

该样本用到了与FIN7组织类似的攻击手段
文件md5:619aa4e6c9db275381ab0e7fc7078f5f
SHA256:a7a927bd44040817ae39e15aeb3f0b69ca943d4ce5b00d12eed6fae5b1c325d0
文件类型:rtf。

打开如下:
图片描述
双击
图片描述
lnk文件目标内容:

lnk文件中的位置栏信息将启用vb引擎执行文件内容中的VBS代码。

提取文件中的VBS代码大致如下:
图片描述
上述代码中的 beg、psCb 、vbLdr三个字符串变量经过base64解码出58e773daa6ce37.38604406.vbs、58e773daa6ce54.73161248.ps1、58e773daa6ce48.18772433.vbs三个脚本文件,脚本文件保存在%HOMEPATH%\Intel目录下。然后起wscript.exe进程执行58e773daa6ce48.18772433.vbs。
图片描述
先研究58e773daa6ce48.18772433.vbs文件。
该vbs脚本中存在大量字符串信息,而且标识符名称均存在混淆。
图片描述

封装到html文件中用浏览器调试。
注意executeglobal函数的调用。
图片描述
继续跟进。进入解密出的vsb代码片段
图片描述
dump出这块代码,其核心逻辑代码如下所示。该段代码将会释放多个脚本文件和配置文件。
图片描述
该过程释放文件如下。
图片描述
对比脚本中存在的文件名称信息,发现有五个标识符并无释放的文件:p_autorjs1、p_autorjs2、p_ggldr、outFile、p_start。
根据代码中的执行顺序,依次执行p_runnerr、p_loader、p_autostarter2脚本内容。即58e773daa6cda0.00520298.vbs,58e773daa6cdb6.29194799.vbs、58e773daa6cdd1.63949905.vbs。

跟进58e773daa6cda0.00520298.vbs。同样通过executeglobal函数执行自解密出来的vbs代码。核心功能为文件删除、更新、运行新的恶意文件。
图片描述
这部分代码通过配置文件进行文件的移动以及删除操作,后续会起powershell.exe执行58e773daa6cd89.12178801.ps1脚本。
图片描述
58e773daa6cd89.12178801.ps1脚本解码出来如下。该代码用于截屏,将位图文件保存到intel目录下。
图片描述
58e773daa6cda0.00520298.vbs脚本通过与同目录下的58e773daa6cd71.36107668.ini交互,读取是否需要截屏的指令信息进行相应的操作。
如检测到“delete”指令,会解密出deletron.vbs文件,保存到%temp%目录下。deletron.vbs结构如下:
图片描述
该段代码用于创建计划任务,并基于正则表达式检测获取任务运行参数。

该部分代码可见IOC敏感信息,应该是网络交互部分。
图片描述
通过读取58e773daa6cd71.36107668.ini我呢见内容进行相应的RAT功能。
图片描述
贴出核心RAT代码如下:

C2地址形式如下:在urlArry数组中取出IP及端口信息,然后拼接有盘符信息计算出的字符串。
http://204.155.31.167:80/cd?fl5g=N2tnOXY%3D&mvhwdhf=cHpl&gmo0qtb=MjU%3D&ihh8y=ykAovOTn7MhiJ9yoYOJeiH%3D%3D
http://204.155.31.167:443/cd?fl5g=N2tnOXY%3D&mvhwdhf=cHpl&gmo0qtb=MjU%3D&ihh8y=ykAovOTn7MhiJ9yoYOJeiH%3D%3D

杀软检测,若存在杀软就退出。包括卡巴斯基、AVG等厂商的杀软产品(通过遍历查找杀软组件模块检测)。
图片描述


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2019-7-8 11:15 被Am0rf4tx编辑 ,原因:
收藏
免费 8
支持
分享
打赏 + 1.00雪花
打赏次数 1 雪花 + 1.00
 
赞赏  DlyWtF700   +1.00 2019/07/08 打赏一波
最新回复 (9)
雪    币: 1710
活跃值: (724)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
2
好吧,看雪峰会门票还差1000雪币...
2019-7-8 11:17
1
雪    币: 381
活跃值: (165)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
点赞,写得不错,收藏了!
2019-7-8 15:15
1
雪    币: 3496
活跃值: (749)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
点赞,收藏,写的的确不错。。
2019-7-9 08:12
0
雪    币: 50161
活跃值: (20625)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
5
输出全靠吼 好吧,看雪峰会门票还差1000雪币...
LV6级以上会员,直接可以得到门票:https://bbs.pediy.com/thread-252239.htm
2019-7-14 20:33
0
雪    币: 1710
活跃值: (724)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
6
kanxue LV6级以上会员,直接可以得到门票:https://bbs.pediy.com/thread-252239.htm
感谢提醒。已经兑到门票了
2019-7-15 10:42
0
雪    币: 9792
活跃值: (1675)
能力值: ( LV12,RANK:261 )
在线值:
发帖
回帖
粉丝
7
FIN7 APT组织的样本
https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html
2019-7-17 09:48
0
雪    币: 1710
活跃值: (724)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
8
CrazymanArmy FIN7 APT组织的样本 https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-e ...
感谢你的链接
2019-7-17 15:13
0
雪    币: 1710
活跃值: (724)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
10
这就是一个定制好的后门程序,不明白你为什么需要注册?https://s.threatbook.cn/report/file/2f47ba8d6329927eb3370cbb2de18fb7694d97c170fb8bc641919d481b1ee9ea/?env=win7_sp1_enx86_office2013
2019-7-24 19:04
0
游客
登录 | 注册 方可回帖
返回
//