首页
社区
课程
招聘
[原创]HellsingAPT分享
发表于: 2020-8-17 18:12 5981

[原创]HellsingAPT分享

2020-8-17 18:12
5981

概述

Hellsing使用鱼叉式网络钓鱼技术来破坏东南亚,印度和美国的外交目标。APT 30似乎也是其组织目标之一,可能使用与Mirage相同的基础设施

2015年被卡巴披露黑吃黑APT_ON_APT,Hellsing对NaikonAPT组织进行钓鱼。

 

组件分析

Exe:

 

1) 初始化字符串,执行cmd删除Up目录下数据,如下所示:

 

C:\Windows\system32\cmd.exe /c "rd /s/q "C:\ProgramData\Windows\Intel\Up\*""


2) 枚举TCP端口连接情况,如下所示:



3) 创建局域网Socket端口443,结合上述获取TCP连接,开放局域网端口,有横向扫描意向,如下所示:



4) 内存中提取网络信标1.187.1.187

 

 


5) 清除DNS缓存



6) 结束指定Pid

 


7) 网络相关

 


8) 部分样本以Borland Delphi做为第一载荷,功能释放Dll。

 


9) 部分样本DOS头存根包含可执行Shellcode。

 

 


RTF:

cve-2018-0802分析

EQNEDT32.EXE.Md5:E6D02E3F423FFB5299D627500E88D44D

POC分析:

1) 漏洞触发,附加WINWORD下断是无效的(不是同一个进程),先OD打开或者附加EQNEDT32.exe,下断WINExec双击POC。通过Procexp进程树观察POC通过cmd执行计算器,可以尝试ShellExec和WINExec,CreateProcess三个函数,如下所示:

 


2) 发现Cmdline已经填充好了指令,查看内存该栈溢未被破坏,回溯发现仍是完整的栈空间,比较快捷实现指令流程跳转可以基于eip修改,jmp和call,call会push返回,如下所示:

 




3) 硬件断点-回溯,经过几次调试发现拷贝位置,如下所示:

 



4) 拷贝payload,执行ret跳转到栈地址执行shellcode。

 

 

5) 加载样本,跟踪shellCode执行。

 


6) 执行shellCode

 


7) 解密Shellcode代码段:

 

 


8) ShellCode使用傀儡进程注入(dllhst3g.exe),TMEP目录下释放8.tmp.exe可执行文件。

 

 

McAfee-QcConsol白加黑利用:

1) 8.t文件在Roaming\MikRosotf\Windows\Printer Shortcuts\目录下释放带有McAfee签名可执行文件,执行加载QcLite.dll,加载恶意stdole.tilb文件。

 

 

 

2) QcLite.dll被加载,读取解密stdole文件,执行shellcode.

 

 



cve-2017-11882分析

1) 下断0041160F函数地址,经过多次拷贝溢出,如下所示:

 

 

2) 00411874地址下断,返回ret跳转shellcode.

 

 

3) 执行ShellCode

 

 

4) shellcode读取8.t解密,内存中解密出可执行文件,如下所示:


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (9)
雪    币: 6054
活跃值: (12594)
能力值: ( LV12,RANK:312 )
在线值:
发帖
回帖
粉丝
2

老文旧样本,感觉还有可分享的知识点

最后于 2020-8-17 18:15 被一半人生编辑 ,原因:
2020-8-17 18:15
0
雪    币: 968
活跃值: (6818)
能力值: (RANK:462 )
在线值:
发帖
回帖
粉丝
3
感谢分享  内容很不错
2020-8-17 20:20
0
雪    币: 300
活跃值: (2447)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
感谢分享
2020-8-17 21:43
0
雪    币: 9792
活跃值: (1670)
能力值: ( LV12,RANK:261 )
在线值:
发帖
回帖
粉丝
5

感谢分享

最后于 2020-8-18 09:13 被CrazymanArmy编辑 ,原因: 感谢分享
2020-8-18 09:08
0
雪    币: 4914
活跃值: (4612)
能力值: ( LV10,RANK:171 )
在线值:
发帖
回帖
粉丝
10
感谢分享
2020-8-19 10:14
0
游客
登录 | 注册 方可回帖
返回
//