情报链接推特
推特情报大佬公开了透明部落组织的攻击载体,笔者尝试进行下载分析和溯源关联。
该样本主要采用了doc文档的宏进行主要载体的下发和执行。
详细分析
1. Doc文档自身的宏代码
创建%ALLUSERSPROFILE%\Drmdsia\ 文件夹。
这是存储在窗体中的数据。
根据系统版本,也就是以win8为版本界限进行不同载荷的分发。
获取数据后,遍历数据都转换为byte型。
进行字符拼接添加”xe”,形成exe后缀.进行二进制字节写入,头部刚好为4D5A。
然后运行该exe文件,并带入参数(4)。
进行主页文字的更改,替换成textbox2的值。
2. PE文件
|
MD5 |
5414e98791d80ce3c0eadda6e00803e0 |
文件为木马的解压载体,dropper。
运行窗口类:
进行窗口初始化,进行窗口函数的注册,和参数的初始化。
进入到Form1_Load函数中。
首先进行文件解压。
将资源段的数据写入到” @”C:\ProgramData\Inthral\homgbrarn””中,然后进行移动更名为C:\ProgramData\Inthral\ rddlhasa.zip”然后进行解压,执行最终的深红木马。
第二个主要函数通过写入第二个资源数据到”C:\Users\malware\Documents\throvdgrva-12 .jpeg”中执行,不过这个样本中该资源数据为0,可能在之后添加新的载体。
3. 深红木马本体
|
MD5 |
77e3a20c53338c31259a5ff1a164de0b |
|
创建时间 |
2020-07-18 19:42:53UTC |
|
PDB |
g:\newtimes\hafimus\homgbrarn\homgbrarn\obj\Debug\homgbrarn.pdb |
该木马和以前的木马功能架构上存在一致性,根据奇安信的分析报告可以看出相关功能,混淆除了字符串的不同,都是采用split进行字符提取。
|
Command |
function |
|
xxxxxxx-procl |
枚举进程并打印 |
|
xxxxxxx-getavs |
枚举进程并打印 |
|
xxxxxxx-thumb |
上传gif图像 |
|
xxxxxxx-clping |
刷新运行时间 |
|
xxxxxxx-putsrt |
复制木马,设置自启动 |
|
xxxxxxx-filsz |
获取文件属性 |
|
xxxxxxx-rupth |
返回文件路径 |
|
xxxxxxx-dowf |
文件下载 |
|
xxxxxxx-endpo |
结束指定进程 |
|
xxxxxxx-scrsz |
设置截屏参数 |
|
xxxxxxx-cownar |
写入文件并执行 |
|
xxxxxxx-cscreen |
屏幕截图 |
|
xxxxxxx-dirs |
获取磁盘目录信息 |
|
xxxxxxx-stops |
停止截屏 |
|
xxxxxxx-scren |
获取屏幕截图 |
|
xxxxxxx-cnls |
参数初始化 |
|
xxxxxxx-udlt |
用户删除 |
|
xxxxxxx-delt |
文件删除 |
|
xxxxxxx-afile |
读取文件信息 |
|
xxxxxxx-listf |
文件搜索 |
|
xxxxxxx-file |
上传文件 |
|
xxxxxxx-info |
获取用户信息 |
|
xxxxxxx-runf |
文件执行 |
|
xxxxxxx-fles |
查找文件 |
|
xxxxxxx-dowr |
文件下载 |
|
xxxxxxx-fldr |
根据路径列出文件夹 |
CC地址为64.188.26.219
下面为端口号:
4820
6521
11422
15823
17824
IOC
MD5
71c0dc45746f79fdf3432956a16dc470
77e3a20c53338c31259a5ff1a164de0b
5414e98791d80ce3c0eadda6e00803e0
b00f497b8e657e6ac34c8481cf2fe16c
LP
64.188.26.219
来源:freebuf.com 2020-09-23 23:40:26 by: mfc120u
请登录后发表评论
注册