-
-
[原创]HellsingAPT分享
-
发表于:
2020-8-17 18:12
5995
-
概述
Hellsing使用鱼叉式网络钓鱼技术来破坏东南亚,印度和美国的外交目标。APT 30似乎也是其组织目标之一,可能使用与Mirage相同的基础设施
2015年被卡巴披露黑吃黑APT_ON_APT,Hellsing对NaikonAPT组织进行钓鱼。
组件分析
Exe:
1) 初始化字符串,执行cmd删除Up目录下数据,如下所示:
C:\Windows\system32\cmd.exe /c "rd /s/q "C:\ProgramData\Windows\Intel\Up\*""
2) 枚举TCP端口连接情况,如下所示:
3) 创建局域网Socket端口443,结合上述获取TCP连接,开放局域网端口,有横向扫描意向,如下所示:
4) 内存中提取网络信标1.187.1.187
5) 清除DNS缓存
6) 结束指定Pid
7) 网络相关
8) 部分样本以Borland Delphi做为第一载荷,功能释放Dll。
9) 部分样本DOS头存根包含可执行Shellcode。
RTF:
cve-2018-0802分析
EQNEDT32.EXE.Md5:E6D02E3F423FFB5299D627500E88D44D
POC分析:
1) 漏洞触发,附加WINWORD下断是无效的(不是同一个进程),先OD打开或者附加EQNEDT32.exe,下断WINExec双击POC。通过Procexp进程树观察POC通过cmd执行计算器,可以尝试ShellExec和WINExec,CreateProcess三个函数,如下所示:
2) 发现Cmdline已经填充好了指令,查看内存该栈溢未被破坏,回溯发现仍是完整的栈空间,比较快捷实现指令流程跳转可以基于eip修改,jmp和call,call会push返回,如下所示:
3) 硬件断点-回溯,经过几次调试发现拷贝位置,如下所示:
4) 拷贝payload,执行ret跳转到栈地址执行shellcode。
5) 加载样本,跟踪shellCode执行。
6) 执行shellCode
7) 解密Shellcode代码段:
8) ShellCode使用傀儡进程注入(dllhst3g.exe),TMEP目录下释放8.tmp.exe可执行文件。
McAfee-QcConsol白加黑利用:
1) 8.t文件在Roaming\MikRosotf\Windows\Printer Shortcuts\目录下释放带有McAfee签名可执行文件,执行加载QcLite.dll,加载恶意stdole.tilb文件。
2) QcLite.dll被加载,读取解密stdole文件,执行shellcode.
cve-2017-11882分析
1) 下断0041160F函数地址,经过多次拷贝溢出,如下所示:
2) 00411874地址下断,返回ret跳转shellcode.
3) 执行ShellCode
4) shellcode读取8.t解密,内存中解密出可执行文件,如下所示:
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)