首页
社区
课程
招聘
[原创]APT 双尾蝎样本分析
发表于: 2022-9-13 15:14 8807

[原创]APT 双尾蝎样本分析

2022-9-13 15:14
8807

双尾蝎是一个长期针对中东地区的高级威胁组织,其最早于2017年被披露。至少自20165月起,持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动,以窃取敏感信息为主的网络攻击组织,开展了有组织,有计划,有针对性的攻击。

winhex打开样本,发现该文件为rar压缩包,解压后获得一个Delphi编写伪装成doc32exe文件。样本运行后将在Temp目录下释放诱饵文档"university report.docx"Roaming目录下释放临时文件"dsfjj45k.tmp"并写入8个字符用于和受控机信息拼接,在启动目录中创建快捷方式实现自启动,随后请求域名bruce-ess[.]com并发送经过base64编码后的受控机主机名、用户名、系统版本、杀软信息、样本路径、样本版本。该样本有5个按钮4个计时器,其核心功能写在计时器中,通过计时器调用其它控件

开启监控程序,运行木马样本行为如下

1. 请求域名bruce-ess[.]com并发送base64编码后的数据

请求域名并发送数据

2. C:\Users\Administrator\AppData\Local\Temp\university report.docx路径下释放诱饵文档;

释放诱饵文档

3. C:\Users\Administrator\AppData\Roaming\dsfjj45k.tmp路径下释放临时文件

释放临时文件

      4. 写入启动项实现自启动

样本写入启动项


基本信息


从压缩包中解压样本运行后将获得诱饵文档以欺骗受害者,样本将自身添加到启动项中达到长期控守的目的。样本运行期间会收集主机账户名、主机名、系统版本信息、杀软信息、样本路径、样本版本,将信息通过base64编码后发送到CC域名bruce-ess[.]com


样本将自己伪装成一个doc文件以诱骗受害者运行样本。

伪装

DEDE无法对该样本分析,所以使用"interactive delphi"对该样本分析,在其分析结果中发现有4个计时器,其样本功能封装于计时器中。样本通过计时器调用其它控件实现窃密、回连等功能。

样本窗体

控件地址

通过"interactive delphi"工具定位控件地址,有的Delphi函数ida无法识别,可借助该工具在ida中对函数进行标注,提高分析速度。于计时器起始地址设置断点对每个计时器逐一分析。

样本运行后从自身资源区中定位诱饵文档地址,随后获取Temp目录路径,在路径下释放诱饵文档"university report.docx"以欺骗受害者。

诱饵文档

获取Temp目录

释放样本


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2022-9-13 15:16 被戴夫的小推车编辑 ,原因:
上传的附件:
收藏
免费 9
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//