很久前分析的APT32组织相关的样本，稍微整理下分析相关的材料（包括IDA7.0的idb文件、提取的宏文件、解混淆后的宏文件、调试shellcode代码），发出来给朋友们参考参考。希望能大家一点点帮助！

      链接: https://pan.baidu.com/s/1OYGdZ9jbH_65LTwDtpiczQ 提取码: ak4q

目 录

1        样本分析报告集

2        2019年加薪及任命决定征求意见表.EXE 分析_OK

2.1        基本信息

2.2        分析

2.2.1         简介

2.2.2         病毒攻击流程

2.2.3         反沙箱检测

2.2.4         分析{ea6376aa-d84c-4e81-8fdc-5dc4dc443ccb}.ocx

2.2.5         分析{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll

2.2.6         域名生成算法

2.2.7         上线连接

2.2.8         后门功能分析

2.2.9    IOC

3        2018年工作报告提纲2(第四稿.RAR

3.1        基本信息

3.2        分析

3.2.1         简介

3.2.2         病毒攻击流程

3.2.3         恶意插件分析

3.2.4         分析shellcode代码

3.2.5    IOC

4        外交新闻汇总第1号 - 2018年10月.ZIP_OK

4.1        基本信息

4.2        分析

4.2.1         简介

4.2.2         病毒攻击流程

4.2.3         分析-中华人民共和国外交部.html

4.2.4         恶意的vbscript脚本

4.2.5         恶意的powershell脚本

4.2.6         分析shellcode代码

4.2.7    IOC

5        2018年9月工作报告修改意见-给刘处.DOC_OK

5.1        基本信息

5.2        分析

5.2.1         简介

5.2.2         病毒攻击流程

5.2.3         恶意宏分析

5.2.4    Log_Error.jpg（DllMain.dll）分析

5.2.5         分析shellcode代码

5.2.6    IOC

6        总结

样本MD5

c967c99321c1d69c108729e377502395

样本名

2019年加薪及任命决定征求意见表.exe

样本文件大小

1.37 MB (1,442,032 字节)

样本类型

后门

样本描述

伪装为WORD文档的exe后门程序

分析时间

2018年12月

此病毒是伪装成word文档的winrar自解压文件，包含Ms Word ~tmp.docx文件和{ea6376aa-d84c-4e81-8fdc-5dc4dc443ccb}.ocx文件。通过winrar自解压命令行参数，调用regsvr32.exe（系统自带的控件注册程序）进程来加载恶意模块{ea6376aa-d84c-4e81-8fdc-5dc4dc443ccb}.ocx ,并在内存中自加载后门模块{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll、未命名.dll，加载完成后与C2建立连接，接收C2端的控制指令。

1、用户运行伪装成word文档的winrar自解压文件。

2、调用regsvr32.exe加载{ea6376aa-d84c-4e81-8fdc-5dc4dc443ccb}.ocx恶意控件。

3、{ea6376aa-d84c-4e81-8fdc-5dc4dc443ccb}.ocx在内存中执行保存在自身data段的shellcode代码。

4、shellcode代码在内存中执行{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll后门模块。

5、连接控制服务端。

6、收集主机信息发送到服务端，等待接收控制指令

通过设置标志注册表键，{ea6376aa-d84c-4e81-8fdc-5dc4dc443ccb}.ocx恶意模块执行两次才会执行核心恶意代码，而沙箱一般只会执行一次被检测样本，从而达到逃避沙箱检测的目的。

l  标志注册表键：[HKEY_CURRENT_USER\Software\Classes\CLSID\{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}\Model = dword:00126ff1]

l  打开注册表键：

l  判断标志注册表键否存在，存在则执行下一步恶意代码。

l  设置超长的随机延时（此次为61秒），用于躲避沙箱的检测

{ea6376aa-d84c-4e81-8fdc-5dc4dc443ccb}.ocx会加载执行保存在文件资源中的shellcode代码。此shellcode代码执行后，将自加载shellcode中存储的一个名为{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll模块，接着执行此dll的导出函数DllEntry。

下图为资源文件中保存的未加密的shellcode代码。shellcode代码被加载后，将从首部E8开始执行，E8为汇编指令call（函数调用）的硬编码。

{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll为木马的核心功能模块。包括C2的通讯、系统信息采集、文件操作、进程操作、注册表操作等功能的实现代码都保存在此模块之中。该dll的DllEntry（入口函数）执行后，将从文件资源中解密出木马的c2等配置信息及1个通信相关的dll。通信dll导出一个”CreateInstance”函数。

l  内存中提取的{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll模块

l  文件资源中解密出木马的c2等配置信息及1个通信相关的dll

密钥字符串

UNICODE"ghijklmnopz"

C2

UNICODE"karelbecker.com"

C2

UNICODE"becreybour.com"

C2

UNICODE"beaudrysang.xyz"

l  资源数据如下图所示：

l  在0x10000000内存中处加载名称为空的通信dll模块。

l  内存中提取的名称为空的通信dll。

l  获取主机名。

l  主机名加密后得到"770069006e002d006f007000680076006c00630032006400370065006f00.2365a345"字符串。

l  加密使用的密钥字符串。

l  通过以下域名生成算法对主机名加密后的字符串计算，得到域名前半部分字符串。

域名："nnggmpggmeggidggmfggngggmoggnmggmcggmjggjiggmkggjnggmlggmfgg.ijmlajkl"

随后后门程序对资源中的保存的3个C2域名进行可用性效验，取出其中可用的域名与主机名加密得到的字符串合并后得到"nnggmpggmeggidggmfggngggmoggnmggmcggmjggjiggmkggjnggmlggmfgg.ijmlajkl.karelbecker.com"，并通过GetAddrInfoW获取到C2的IP 216.107.152.223、端口号为443，随后与C2建立通信连接，等待接收C2传输控制指令。

值得关注的是攻击者使用了泛域名解析技术，"nnggmpggmeggidggmfggngggmoggnmggmcggmjggjiggmkggjnggmlggmfgg.ijmlajkl.karelbecker.com"标红的域名部分任意修改都可解析到正确的C2 IP，通过此法可通过DNS协议传输数据给C2端，可有效躲避安全防护产品的检测。

l  创建目录、删除目录

l  文件搜索、读写、创建、删除文件等操作

l  获取系统版本信息、主机名、用户名

l  注册表读写操作

nnggmpggmeggidggmfggngggmoggnmggmcggmjggjiggmkggjnggmlggmfgg.ijmlajkl.karelbecker.com

karelbecker.com

becreybour.com

beaudrysang.xyz

216.107.152.223

c967c99321c1d69c108729e377502395(2019年加薪及任命决定征求意见表.exe)

559405733d119eeab1d8a71ef8b63941({A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll)

3b1f7fab2883534cac59b9b93469b372 (empty.dll)

样本MD5

a7c52919f1bec7db77645a95ce5e16ce

样本名

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课