概述

Hellsing使用鱼叉式网络钓鱼技术来破坏东南亚，印度和美国的外交目标。APT 30似乎也是其组织目标之一，可能使用与Mirage相同的基础设施

2015年被卡巴披露黑吃黑APT_ON_APT，Hellsing对NaikonAPT组织进行钓鱼。

组件分析

Exe：

1) 初始化字符串，执行cmd删除Up目录下数据，如下所示：

C:\Windows\system32\cmd.exe /c "rd /s/q "C:\ProgramData\Windows\Intel\Up\*""

2) 枚举TCP端口连接情况，如下所示：

3) 创建局域网Socket端口443，结合上述获取TCP连接，开放局域网端口，有横向扫描意向，如下所示：

4) 内存中提取网络信标1.187.1.187

5) 清除DNS缓存

6) 结束指定Pid

7) 网络相关

8) 部分样本以Borland Delphi做为第一载荷，功能释放Dll。

9) 部分样本DOS头存根包含可执行Shellcode。

RTF:

cve-2018-0802分析

EQNEDT32.EXE.Md5：E6D02E3F423FFB5299D627500E88D44D

POC分析：

1) 漏洞触发，附加WINWORD下断是无效的(不是同一个进程)，先OD打开或者附加EQNEDT32.exe，下断WINExec双击POC。通过Procexp进程树观察POC通过cmd执行计算器，可以尝试ShellExec和WINExec，CreateProcess三个函数，如下所示：

2) 发现Cmdline已经填充好了指令，查看内存该栈溢未被破坏，回溯发现仍是完整的栈空间，比较快捷实现指令流程跳转可以基于eip修改，jmp和call，call会push返回，如下所示：

3) 硬件断点-回溯，经过几次调试发现拷贝位置，如下所示：

4) 拷贝payload，执行ret跳转到栈地址执行shellcode。

5) 加载样本，跟踪shellCode执行。

6) 执行shellCode

7) 解密Shellcode代码段：

8) ShellCode使用傀儡进程注入(dllhst3g.exe)，TMEP目录下释放8.tmp.exe可执行文件。

McAfee-QcConsol白加黑利用：

1) 8.t文件在Roaming\MikRosotf\Windows\Printer Shortcuts\目录下释放带有McAfee签名可执行文件，执行加载QcLite.dll，加载恶意stdole.tilb文件。

2) QcLite.dll被加载，读取解密stdole文件，执行shellcode.

cve-2017-11882分析

1) 下断0041160F函数地址，经过多次拷贝溢出，如下所示：

2) 00411874地址下断，返回ret跳转shellcode.

3) 执行ShellCode

4) shellcode读取8.t解密，内存中解密出可执行文件，如下所示：

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)