透明部落APT组织的木马分析 – 作者:mfc120u

情报链接推特

推特情报大佬公开了透明部落组织的攻击载体,笔者尝试进行下载分析和溯源关联。

1600875250_5f6b6af27b886b27a9318.png!small

该样本主要采用了doc文档的宏进行主要载体的下发和执行。

详细分析

1.   Doc文档自身的宏代码

创建%ALLUSERSPROFILE%\Drmdsia\ 文件夹。

1600875269_5f6b6b05280c9281ce36c.png!small

这是存储在窗体中的数据。

1600875273_5f6b6b094d169d8ba2bc7.png!small

1600875278_5f6b6b0ed26e4216c8870.png!small

根据系统版本,也就是以win8为版本界限进行不同载荷的分发。

1600875283_5f6b6b1399449def668bb.png!small

获取数据后,遍历数据都转换为byte型。

1600875289_5f6b6b19880caba08d621.png!small

进行字符拼接添加”xe”,形成exe后缀.进行二进制字节写入,头部刚好为4D5A。

1600875311_5f6b6b2f69060ccfb1f03.png!small

1600875321_5f6b6b39d1ec6cb773b9f.png!small

然后运行该exe文件,并带入参数(4)。

进行主页文字的更改,替换成textbox2的值。

1600875327_5f6b6b3f4684f07d01673.png!small

2.   PE文件

MD5

5414e98791d80ce3c0eadda6e00803e0

文件为木马的解压载体,dropper。

运行窗口类:

1600875367_5f6b6b6710ffac93bb678.png!small

1600875370_5f6b6b6a8555fc4cb89b5.png!small

进行窗口初始化,进行窗口函数的注册,和参数的初始化。

1600875374_5f6b6b6ea71277d50790b.png!small

进入到Form1_Load函数中。

1600875377_5f6b6b71dcaa99e86e800.png!small

首先进行文件解压。

1600875382_5f6b6b76d27e235745e60.png!small

1600875389_5f6b6b7d310356f85090e.png!small

将资源段的数据写入到” @”C:\ProgramData\Inthral\homgbrarn””中,然后进行移动更名为C:\ProgramData\Inthral\ rddlhasa.zip”然后进行解压,执行最终的深红木马。

第二个主要函数通过写入第二个资源数据到”C:\Users\malware\Documents\throvdgrva-12 .jpeg”中执行,不过这个样本中该资源数据为0,可能在之后添加新的载体。

1600875399_5f6b6b87c7d53b7250d7e.png!small

3.   深红木马本体

MD5

77e3a20c53338c31259a5ff1a164de0b

创建时间

2020-07-18 19:42:53UTC

PDB

g:\newtimes\hafimus\homgbrarn\homgbrarn\obj\Debug\homgbrarn.pdb

该木马和以前的木马功能架构上存在一致性,根据奇安信的分析报告可以看出相关功能,混淆除了字符串的不同,都是采用split进行字符提取。

1600875408_5f6b6b9046ccb6c65f6d5.png!small

Command

function

xxxxxxx-procl

枚举进程并打印

xxxxxxx-getavs

枚举进程并打印

xxxxxxx-thumb

上传gif图像

xxxxxxx-clping

刷新运行时间

xxxxxxx-putsrt

复制木马,设置自启动

xxxxxxx-filsz

获取文件属性

xxxxxxx-rupth

返回文件路径

xxxxxxx-dowf

文件下载

xxxxxxx-endpo

结束指定进程

xxxxxxx-scrsz

设置截屏参数

xxxxxxx-cownar

写入文件并执行

xxxxxxx-cscreen

屏幕截图

xxxxxxx-dirs

获取磁盘目录信息

xxxxxxx-stops

停止截屏

xxxxxxx-scren

获取屏幕截图

xxxxxxx-cnls

参数初始化

xxxxxxx-udlt

用户删除

xxxxxxx-delt

文件删除

xxxxxxx-afile

读取文件信息

xxxxxxx-listf

文件搜索

xxxxxxx-file

上传文件

xxxxxxx-info

获取用户信息

xxxxxxx-runf

文件执行

xxxxxxx-fles

查找文件

xxxxxxx-dowr

文件下载

xxxxxxx-fldr

根据路径列出文件夹

1600875416_5f6b6b98a0aea9008e153.png!small

CC地址为64.188.26.219

下面为端口号:

4820

6521

11422

15823

17824

IOC

MD5

71c0dc45746f79fdf3432956a16dc470

77e3a20c53338c31259a5ff1a164de0b

5414e98791d80ce3c0eadda6e00803e0

b00f497b8e657e6ac34c8481cf2fe16c

LP

64.188.26.219

来源:freebuf.com 2020-09-23 23:40:26 by: mfc120u

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论