-
-
[原创]APT 摩诃草样本分析
-
2022-12-9 22:05
12188
-
一、ATP简介
摩诃草,又名Hangover、Patchwork、白象等,是一个具有南亚背景的APT组织。该组织主要针对Windows系统进行攻击,同时也会针对Android、Mac OS系统进行攻击。摩诃草APT组织攻击目标涉及中国、巴基斯坦、以色列等国。该组织以鱼叉攻击为主,以少量水坑攻击为辅,针对目标国家的政府、军事、电力、工业、外交和经济进行网络间谍活动,窃取敏感信息。
二、概述
一阶样本为rtf格式文件,运行后利用CVE-2017-11882漏洞执行ShellCode,通过ShellCode释放二阶样本("McVsoCfg.dll"、"mcods.exe")并将二阶样本写入启动项中。
二阶样本运行后首先判断受控主机时区,如不是巴基斯坦时区则结束样本运行。随后收集主机安装软件、进程信息、网卡信息、dns配置、部署服务、系统信息详情并写入TEMP目录下"RTYgjfdg.sys"文件中。获取主机uuid后将收集的主机信息一齐发送到CC 51.89.251.8,随后清除"RTYgjfdg.sys"。基础信息发送后创建新线程进行键盘记录,等待CC后续指令。
三、一阶样本
1)基础信息
MD5 | 236B62124C862664C4CB179B4B3B844A |
文件类型 | rtf |
表 基本信息
样本为rtf格式文件,运行后利用CVE-2017-11882漏洞执行ShellCode,通过ShellCode释放二阶样本("McVsoCfg.dll"、"mcods.exe")并将二阶样本写入启动项中。
2)分析详情
图 equation.exe进程启动
图 漏洞触发点
图 检测是否被调试
图 释放二阶样本
图 设置启动项
四、二阶样本
1)基础信息
MD5 | 327AB2061B7965F741AC10FFCF4DCC86 |
时间戳 | 2016-04-20 |
CPU架构 | 32位 |
表 基本信息
二阶样本运行后首先判断受控主机时区,如不是巴基斯坦时区则结束样本运行。随后收集主机安装软件、进程信息、网卡信息、dns配置、部署服务、系统信息并写入TEMP目录下"RTYgjfdg.sys"文件中。获取主机uuid后将收集的主机信息一齐发送到CC 51.89.251.8,随后清除"RTYgjfdg.sys"。基础信息发送后创建新线程进行键盘记录,等待CC后续指令。
从"mcods.exe"导出表中得知样本加载"McVsoCfg.dll"模块的"McVsoCfgGetObject"函数遂按此方式调试样本。
图 恶意函数
2)分析详情
图 获取受控主机时区
图 创建RTYgjfdg.sys
图 信息收集
图 uuid获取
图 aes加密
图 aes解密
图 文件读取
图 数据准备
图 解密网络模块及函数
图 数据发送
图 数据发送完成
图 文件删除
图 线程创建
图 键盘记录
等待CC后续指令,共计8种指令
指令号 | 功能 |
1 | 写入文件ghjgd并上传至CC |
2 | 屏幕截图并上传CC |
3 | 退出程序 |
4 | 下载文件到"TGJdbkds.exe"并运行 |
5 | 发送文件ghjgd |
6 | 数据发送 |
7 | cmd执行 |
8 | 下载文件保存到"TGJdbkds" |
1:写入文件ghjgd并上传至CC
2:屏幕截图并上传CC
3:退出程序
4:下载文件到"TGJdbkds.exe"并运行
5:发送文件ghjgd
6:数据发送
7:cmd执行
8:下载文件保存到"TGJdbkds"
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2022-12-10 10:16
被戴夫的小推车编辑
,原因: