疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

栏目: IT技术 · 发布时间: 4年前

内容简介:响尾蛇(SideWinder)组织是据称具有南亚背景的APT团伙,其主要针对周边国家政府机构等重要组织开展攻击活动,窃取敏感信息。在之前的文章中提到在线沙箱any.run是学生党获得样本分析的好地方,而关注一些安全研究员的社交账号则是获取APT样本信息的有效渠道。近日,安全研究员公开披露了几起响尾蛇的攻击样本

概述

响尾蛇(SideWinder)组织是据称具有南亚背景的APT团伙,其主要针对周边国家政府机构等重要组织开展攻击活动,窃取敏感信息。

在之前的文章中提到在线沙箱any.run是学生党获得样本分析的好地方,而关注一些安全研究员的社交账号则是获取APT样本信息的有效渠道。

近日,安全研究员公开披露了几起响尾蛇的攻击样本

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

搜索样本

因看到其中有新冠病毒相关的信息,遂想找到样本分析,遗憾的是,在anyrun搜索发现,只有一个样本存在,其他样本均没有在anyrun沙箱。

通过沙箱可发现,该样本是lnk文件,运行后将从远程下载hta文件执行

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

可惜的是远程连接已经404了,没法继续分析后续。通过anyrun直接找样本分析的路子断了,再次尝试从VT获取一些样本信息。

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

通过VT 搜索发现利用冠状病毒相关信息的样本也是lnk,运行后将会连接 http://www[.]d01fa[.]net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta 下载后续执行。但是该连接也失效了,幸运的是,在该样本的评论初,发现一个评论且该评论带有一个anyrun连接

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

进入anyrun可见该样本是一个hta文件,且其标题与lnk文件相同,且其网络行为中的域名也与lnk文件后续域名相同。因此可判定该样本即为lnk文件后续

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

至此,可以整理出该样本的相关信息如下

文件名 Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf.lnk
Md5 3c9f64763a24278a6f941e8807725369
后续链接 http://www.d01fa.net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta
后续md5 7a4f9c2e5a60ec498c66d85d2df351e8

样本分析

样本以巴基斯坦军队抗击冠状病毒为诱饵,并假装是pdf快捷链接,诱导受害者点击执行,一旦受害者执行,该lnk文件将会从 http://www[.]d01fa[.]net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta 下载后续Hta执行。

Hta文件内容如下

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

该hta主要功能为解密加载一个.netdll.

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

解密出dll后,获取杀软信息

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

加载dll,传入四个参数,分别是后续hta地址,传杀软信息的ur+杀软信息,诱饵pdf的内容,诱饵pdf的文件名

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

之后该dll将释放诱饵文件,诱饵内容与巴基斯坦军队抗击疫情相关

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

‘将再次从远程下载一个hta文件执行,但该链接目前又失效了,继续anyrun大法下载。

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

下载回来的hta与之前的类似,仍是解密加载一个dll文件。加载后调用dll的work函数

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

该dll主要将在\ProgramData\fontFiles目录下释放四个文件,并将白文件加入自启动,通过白文件加载该目录下的恶意Duser.dll

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

Duser.dll加载起来后,将读取所在目录下的tmp文件,并解密加载该文件

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

由于dnspy不能直接调试dll,所以可将该解密算法直接拷贝到vs里,解密文件写入即可

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

解密加载后的文件即为最终的恶意木马,该木马主要用于窃取信息以及接受远程命令执行,运行后,首先从资源解密配置

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

解密的配置信息如下,信息内容包括收集保存文件目录以及感兴趣的文件类型等

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

之后创建两个定时器函数执行

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

GetTimerCallback用于与c2通信,获取命令执行,根据不同命令执行相应功能

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

支持的功能如下

1.获取系统信息保存到%programdata%\\fontFiles\\font目录下的随机名.sir中

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

获取系统信息如下

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

2.收集所有目录信息的信息保存到%programdata%\\fontFiles\\font目录下的随机名.flc中

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

3. 收集特定文件类型的信息保存到%programdata%\\fontFiles\\font目录下的随机名.fls中

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

4.获取文件保存

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

5.更新c2地址

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

6.更新是否上传指定文件参数

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

7.重置想获取的特殊文件类型

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

8.设置文件大小限制

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

9.指定上传文件

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

另一个定时函数PostTimerCallback用于上传文件

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

关联

此次样本与之前披露的过的响尾蛇样本基本一致

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

且其c2: cloud-apt.net在各威胁平台上都有响尾蛇的tag

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

持续交付

持续交付

Jez Humble、David Farley / 乔梁 / 人民邮电出版社 / 2011-10 / 89.00元

Jez Humble编著的《持续交付(发布可靠软件的系统方法)》讲述如何实现更快、更可靠、低成本的自动化软件交付,描述了如何通过增加反馈,并改进开发人员、测试人员、运维人员和项目经理之间的协作来达到这个目标。《持续交付(发布可靠软件的系统方法)》由三部分组成。第一部分阐述了持续交付背后的一些原则,以及支持这些原则的实践。第二部分是本书的核心,全面讲述了部署流水线。第三部分围绕部署流水线的投入产出讨......一起来看看 《持续交付》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试