首页
社区
课程
招聘
[原创]APT32组织攻击样本分析报告系列-第二篇
发表于: 2020-5-18 18:41 5989

[原创]APT32组织攻击样本分析报告系列-第二篇

2020-5-18 18:41
5989


      很久前分析的APT32组织相关的样本,稍微整理下分析相关的材料(包括IDA7.0的idb文件、提取的宏文件、解混淆后的宏文件、调试shellcode代码),发出来给朋友们参考参考。希望能大家一点点帮助!

      链接: https://pan.baidu.com/s/1OYGdZ9jbH_65LTwDtpiczQ 提取码: ak4q


目 录

1        样本分析报告集

2        2019年加薪及任命决定征求意见表.EXE 分析_OK

2.1        基本信息

2.2        分析

2.2.1         简介

2.2.2         病毒攻击流程

2.2.3         反沙箱检测

2.2.4         分析{ea6376aa-d84c-4e81-8fdc-5dc4dc443ccb}.ocx

2.2.5         分析{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll

2.2.6         域名生成算法

2.2.7         上线连接

2.2.8         后门功能分析

2.2.9    IOC

3        2018年工作报告提纲2(第四稿.RAR

3.1        基本信息

3.2        分析

3.2.1         简介

3.2.2         病毒攻击流程

3.2.3         恶意插件分析

3.2.4         分析shellcode代码

3.2.5    IOC

4        外交新闻汇总第1号 - 2018年10月.ZIP_OK

4.1        基本信息

4.2        分析

4.2.1         简介

4.2.2         病毒攻击流程

4.2.3         分析-中华人民共和国外交部.html

4.2.4         恶意的vbscript脚本

4.2.5         恶意的powershell脚本

4.2.6         分析shellcode代码

4.2.7    IOC

5        2018年9月工作报告修改意见-给刘处.DOC_OK

5.1        基本信息

5.2        分析

5.2.1         简介

5.2.2         病毒攻击流程

5.2.3         恶意宏分析

5.2.4    Log_Error.jpg(DllMain.dll)分析

5.2.5         分析shellcode代码

5.2.6    IOC

6        总结

 

 

样本MD5

c967c99321c1d69c108729e377502395

样本名

2019年加薪及任命决定征求意见表.exe

样本文件大小

1.37 MB (1,442,032 字节)

样本类型

后门

样本描述

伪装为WORD文档的exe后门程序

分析时间

2018年12月

 

此病毒是伪装成word文档的winrar自解压文件,包含Ms Word ~tmp.docx文件和{ea6376aa-d84c-4e81-8fdc-5dc4dc443ccb}.ocx文件。通过winrar自解压命令行参数,调用regsvr32.exe(系统自带的控件注册程序)进程来加载恶意模块{ea6376aa-d84c-4e81-8fdc-5dc4dc443ccb}.ocx ,并在内存中自加载后门模块{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll、未命名.dll,加载完成后与C2建立连接,接收C2端的控制指令。

 

1、用户运行伪装成word文档的winrar自解压文件。

2、调用regsvr32.exe加载{ea6376aa-d84c-4e81-8fdc-5dc4dc443ccb}.ocx恶意控件。

3、{ea6376aa-d84c-4e81-8fdc-5dc4dc443ccb}.ocx在内存中执行保存在自身data段的shellcode代码。

4、shellcode代码在内存中执行{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll后门模块。

5、连接控制服务端。

6、收集主机信息发送到服务端,等待接收控制指令

 

通过设置标志注册表键,{ea6376aa-d84c-4e81-8fdc-5dc4dc443ccb}.ocx恶意模块执行两次才会执行核心恶意代码,而沙箱一般只会执行一次被检测样本,从而达到逃避沙箱检测的目的。

l  标志注册表键:[HKEY_CURRENT_USER\Software\Classes\CLSID\{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}\Model = dword:00126ff1]

l  打开注册表键:

 

l  判断标志注册表键否存在,存在则执行下一步恶意代码。

l  设置超长的随机延时(此次为61秒),用于躲避沙箱的检测

 

{ea6376aa-d84c-4e81-8fdc-5dc4dc443ccb}.ocx会加载执行保存在文件资源中的shellcode代码。此shellcode代码执行后,将自加载shellcode中存储的一个名为{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll模块,接着执行此dll的导出函数DllEntry。

下图为资源文件中保存的未加密的shellcode代码。shellcode代码被加载后,将从首部E8开始执行,E8为汇编指令call(函数调用)的硬编码。

 

{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll为木马的核心功能模块。包括C2的通讯、系统信息采集、文件操作、进程操作、注册表操作等功能的实现代码都保存在此模块之中。该dll的DllEntry(入口函数)执行后,将从文件资源中解密出木马的c2等配置信息及1个通信相关的dll。通信dll导出一个”CreateInstance”函数。

 

l  内存中提取的{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll模块

 

l  文件资源中解密出木马的c2等配置信息及1个通信相关的dll

密钥字符串

UNICODE"ghijklmnopz"

C2

UNICODE"karelbecker.com"

C2

UNICODE"becreybour.com"

C2

UNICODE"beaudrysang.xyz"

 


l  资源数据如下图所示:

 

l  在0x10000000内存中处加载名称为空的通信dll模块。

 

l  内存中提取的名称为空的通信dll。

 

l  获取主机名。

 

l  主机名加密后得到"770069006e002d006f007000680076006c00630032006400370065006f00.2365a345"字符串。

 

l  加密使用的密钥字符串。

 

l  通过以下域名生成算法对主机名加密后的字符串计算,得到域名前半部分字符串。

域名:"nnggmpggmeggidggmfggngggmoggnmggmcggmjggjiggmkggjnggmlggmfgg.ijmlajkl"

 

随后后门程序对资源中的保存的3个C2域名进行可用性效验,取出其中可用的域名与主机名加密得到的字符串合并后得到"nnggmpggmeggidggmfggngggmoggnmggmcggmjggjiggmkggjnggmlggmfgg.ijmlajkl.karelbecker.com",并通过GetAddrInfoW获取到C2的IP 216.107.152.223、端口号为443,随后与C2建立通信连接,等待接收C2传输控制指令。

值得关注的是攻击者使用了泛域名解析技术,"nnggmpggmeggidggmfggngggmoggnmggmcggmjggjiggmkggjnggmlggmfgg.ijmlajkl.karelbecker.com"标红的域名部分任意修改都可解析到正确的C2 IP,通过此法可通过DNS协议传输数据给C2端,可有效躲避安全防护产品的检测。

 

l  创建目录、删除目录


l  文件搜索、读写、创建、删除文件等操作


l  获取系统版本信息、主机名、用户名


l  注册表读写操作

 

nnggmpggmeggidggmfggngggmoggnmggmcggmjggjiggmkggjnggmlggmfgg.ijmlajkl.karelbecker.com

karelbecker.com

becreybour.com

beaudrysang.xyz

216.107.152.223

c967c99321c1d69c108729e377502395(2019年加薪及任命决定征求意见表.exe)

559405733d119eeab1d8a71ef8b63941({A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll)

3b1f7fab2883534cac59b9b93469b372 (empty.dll)

 

样本MD5

a7c52919f1bec7db77645a95ce5e16ce

样本名


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2020-5-18 19:28 被AYZRxx编辑 ,原因:
收藏
免费 4
支持
分享
最新回复 (1)
雪    币: 259
活跃值: (283)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
mark
2020-5-19 06:51
0
游客
登录 | 注册 方可回帖
返回
//