很久前分析的APT32组织相关的样本,稍微整理下分析相关的材料(包括IDA7.0的idb文件、提取的宏文件、解混淆后的宏文件、调试shellcode代码),发出来给朋友们参考参考。希望能给大家一点点帮助!
链接: https://pan.baidu.com/s/1OYGdZ9jbH_65LTwDtpiczQ 提取码: ak4q
注:这篇分析报告不太完整,没找到最终版!
目 录
1 附件3:2019年度绩效审计工作计划清单.DOC
1.1 基本信息
1.2 分析
1.2.1 简介
1.2.2 诱骗执行
1.2.3 恶意宏分析
1.2.4 shellcode恶意代码分析
1.2.5 分析{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
1.2.6 通信分析
1.2.7 后门功能分析
1.2.8 IOC
2 快捷方式加载木马类
样本MD5
bb3306543ff67189dfe9372bb3c72712
样本名
附件3:2019年度绩效审计工作计划清单.doc
样本文件大小
3.29 MB (3,449,856 字节)
样本类型
后门程序
样本描述
利用Office恶意宏加载木马模块
分析时间
2019年2月
该恶意文档,共被植入了三段恶意宏代码,宏的主要功能为在内存中加载执行该恶意文档中以十六进制流方式储存的Shellcode代码。
ShellCode部分的功能是从自身中提取出一个DLL木马程序{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll,接着执行此Dll的导出函数DllEntry,在内存中释放两个2个网络通信相关的DLL文件,网络通信相关文件用于支持HTTP、HTTPS和UDP协议通信,最终与C2端建立通信连接来接受控制指令。
注:{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll名称与以前分析的某个APT32样本DLL名称一致、且Shellcode代码混淆方式类似、内存加载方式类似,因此判断此批样本与APT32相关。
本次攻击时使用恶意宏代码的方式来加载恶意模块,并通过社会工程学的方式伪装成360的提示信息来博取用户的信任,从而诱骗用户启用恶意宏代码。
该恶意文档中共被植入了三段恶意宏代码,第一段代码保存在office默认位置,第二、第三段恶意宏代码以十六进制流的方式保存在文档首部。
宏代码已经过严重的混淆,用于干扰分析人员及杀毒人员的分析。
第一段宏代码(最开始执行的宏代码),从文档首部读取十六进制流保存的第二段宏代码,动态加载并调用入口函数x_N0th1ngH3r3()。
第二段宏代码,从文档首部读取十六进制流保存的第三段宏代码,动态加载并调用入口函数x_N0th1ngH3r3 ()。
第三段宏代码,通过给WINWORD进程创建远程线程的方式在内存中加载该恶意文档中以十六进制流方式储存的Shellcode代码。
ShellCode的核心功能是从自身中提取出一个DLL文件,并在内存中自加载此DLL,随后执行此dll的导出函数DllEntry。下图为修正后的PE头数据:
将Shellcode文件从内存中Dump出来后,使用LordPE可以看出文件的导出名为:{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll。如下图:
解密出的DLL的资源中有一个加密的资源文件:
该DLL运行时,首先获取该资源文件,进行解密,解密后的资源文件中包含了木马配置信息和2个网络通信相关的DLL文件,网络通信相关文件用于支持HTTP、HTTPS和UDP协议通信。下图为解密后的资源文件信息:
资源的数据结构如下:
1. Unicode字符串,"ghijklmnopz"
2. Unicode字符串,注册表键值"SOFTWARE\App\AppX70162486c7554f7f80f481985d67586d\Applicationz"
3. Unicode字符串,注册表键值"SOFTWARE\App\AppX70162486c7554f7f80f481985d67586d\DefaultIcon"
4. Unicode字符串,"Data"
5. Unicode字符串,"def"
6. C2,cloud.360cn.info
7. C2,dns.chinanews.network
8. C2,aliexpresscn.net
9. C2,chinaport.org
10. 2个网络通信相关的DLL文件
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2020-5-18 19:27
被AYZRxx编辑
,原因: