很久前分析的APT32组织相关的样本,稍微整理下分析相关的材料(包括IDA7.0的idb文件、提取的宏文件、解混淆后的宏文件、调试shellcode代码),发出来给朋友们参考参考。希望能给大家一点点帮助!
链接: https://pan.baidu.com/s/1OYGdZ9jbH_65LTwDtpiczQ 提取码: ak4q
目 录
1 基本信息
2 攻击流程图
3 病毒母体分析
4 RASTLS.DLL 分析
4.1 白签名利用
4.2 劫持宿主进程控制权
4.3 OUTLFLTR.DAT文件解析
4.4 加载DLL外壳模块
4.5 {92BA1818-0119-4F79-874E-E3BF79C355B8}.DLL分析
4.6 {A96B020F-0000-466F-A96D-A91BBF8EAC96}.DLL 行为分析
4.7 后门通信分析
4.8 后门功能分析
5 技术特点总结
6 IOC
样本MD5
877ecaa43243f6b57745f72278965467
样本名
WinWord.exe
样本文件大小
2,395,648字节
样本类型
后门
样本描述
伪装图标为winword程序,诱骗用户执行后释放并执行白签名利用木马后门。
分析时间
2018年11月
图 样本攻击流程图
此病毒常可能被伪装为WinWord.doc.exe,因windows系统默认不显示后缀名,导致实际显示的后缀名为WinWord.doc,达到欺骗用户的目的。
病毒母体WinWord.exe被执行,首先会在%temp%目录释放执行伪造的欺骗文档WinWord.doc,并且还在C:\Program Files\UsbCeip_3410992958\”目录下释放拥有赛门铁克签名的正常文件UsbCeip.exe、后门木马rastls.dll、被加密的shellcode文件OUTLFLTR.DAT,随后创建名称为“UsbCeip”的计划任务,使后门木马rastls.dll常驻用户电脑,并根据云控指令伺机窃取机密信息或进行下一阶段攻击。
图:病毒母体运行流程图
图:欺骗文档WinWord.doc
UsbCeip.exe 为携带Symantec(赛门铁克)签名的正常exe文件,原始名为dot1xtra.exe,这是典型的白加黑利用技术,带有效签名的exe运行后会自动加载木马文件rastls.dll。
图:签名信息
图:文件详细信息
rastls.dll模块被加载后,会将宿主exe即UsbCeip.exe 0×401000(默认基址为0×400000)开始的一大片代码修改为无实际作用的滑板指令,并在宿主exe代码段尾部嵌入HOOK指令,使之程序执行流从宿主exe转到rastls.dll模块。
图:无实际作用的滑板指令
图:劫持宿主进程控制权
本次攻击中使用的关键模块文件都加入了大量混淆、花指令,主要是为了干扰分析人员分析其核心代码,例如加解密函数被加混淆、花指令代码膨胀后高达2000多行,被干扰后无法进行静态分析,极大的增加了工作量。且此技术可对抗杀毒引擎的分析检测,具有一定免杀效果。
花指令代码如下所示:
图:花指令
正常代码一般为线性的执行代码,混淆之后的代码则是上跳下跳,使分析人员无法正常进行分析。
混淆后的代码如下所示:
图:代码混淆
rastls.dll会在获取执行权限后加载OUTLFLTR.DAT文件,进行两次解密后得到一段shellcode,随后便跳转到这段的shellcode首部开始执行。
图:读入OUTLFLTR.DAT文件
图:第一次解密密钥
图:第一次解密算法截图
图:第二次解密关键代码
OUTLFLTR.DAT中的shellcode被执行后,会自加载shellcode中存储的一个名为{92BA1818-0119-4F79-874E-E3BF79C355B8}.dll模块,接着执行此dll的导出函数DllEntry。
图:OUTLFLTR.DAT文件解密出的shellcode代码
该dll的主要功能为加载后续的攻击载荷{ A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll,主要的功能并不在此模块之中。此dll模块会从资源中解密出{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll文件,并在内存中自加载此dll,随后执行此dll的导出函数DllEntry。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2020-5-18 19:28
被AYZRxx编辑
,原因: