首页
社区
课程
招聘
[原创]APT 蔓灵花样本分析
发表于: 2022-10-12 21:26 10519

[原创]APT 蔓灵花样本分析

2022-10-12 21:26
10519

蔓灵花又名BITTER、APT-C-08、苦象、T-APT-17等称号,是一个据称有南亚背景的APT组织,具有强烈的政治背景,至少从2013年11月以来就开始活跃,一直未被发现,直到2016年才被国外安全厂商Forcepoint【2】首次披露。主要针对巴基斯坦、中国两国。其攻击目标为政府、电力、军工业相关单位,意图窃取敏感资料。

样本是一个自解压文件,运行后在"C:\intel\logs"释放且运行真实样本(dlhost.exe)和诱饵文档(开证装期邮件.pdf)。样本运行后首先尝试能否与CC通信,通信成功后收集主机名、帐户名、当前系统信息、系统版本、Guid,将信息拼接后发送到CC并下载后续样本对机器进一步控制。

通过调研拓线找到通信后释放的其中一个样本(还有键盘记录等,但未下载到样本),该样本功能为将"C:\\Intel\\Logs\\audiodq.exe"写入注册表(audiodq.exe与dlhost.exe为同源样本)。



表 基础信息

样本运行后在"C:\intel\logs"释放且运行真实样本(dlhost.exe)和诱饵文档(开证装期邮件.pdf)。样本先尝试能否与CC通信,通信成功后收集主机名、帐户名、当前系统信息、系统版本、Guid,将信息拼接后发送到CC并下载后续样本对受控机进一步控制。

图 自解压样本

图 样本和诱饵文档释放

图 诱饵文档正文

样本首先解密字符串,获取配置文件。

图 解密字符串示例

调用CreateSemaphoreA函数创建"7t56yr54r"互斥体。

图 创建互斥体

尝试连接CC

图 尝试连接CC

在样本建立通信后,收集主机名、帐户名、当前系统信息、系统版本、Guid。


图 信息收集

在通信成功后,将接收CC传输的文件,重命名为xxx.exe并调用函数"ShellExecuteA"执行后续样本。

图 执行接收到的后续样本



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2022-10-12 21:54 被戴夫的小推车编辑 ,原因:
上传的附件:
收藏
免费 7
支持
分享
最新回复 (1)
雪    币: 261
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
大佬能不能请问一下为什么我的数据区看的是乱码的
2024-7-9 16:41
0
游客
登录 | 注册 方可回帖
返回
//