疑似APT28最新键盘记录器样本分析 – 作者:Viswing

1 概述

9月初,威胁分析高级专家Alexey Vishnyakov在twitter上发布使用Nim语言编写的疑似APT28的键盘记录器类样本。白泽安全实验室获取Alexey Vishnyakov提供的样本进行分析,经分析,该类样本使用Nim语言编写,这似乎符合APT28近期恶意代码开发风格,而且该类键盘记录器样本似乎正在开发中,并没有嵌入C&C,这和Alexey Vishnyakov在twitter上阐述的信息基本一致。

以下是白泽安全实验室对疑似APT28的键盘记录器类样本进行的详细分析。

2 样本分析

由于6个样本均是Nim语言编写键盘记录器且代码相似度非常高,因此只对其中一个样本进行分析,以下是样本详细分析。

将自身复制到%AppData%/Roaming/,复制后的名字为explorer.exe;其他样本自身复制后名称均不同。

1601349712_5f72a8502353b0b481ef5.png!small

打开“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”将上文创建的explorer.exe写入,名称为Windows Explorer,将explorer.exe设置为开机启动。

1601349724_5f72a85cd6d09f8df790d.png!small

在新的线程里进行键盘记录,对WH_KEYBOARD_LL进行Hook。

1601349740_5f72a86c2d1595cb91288.png!small

1601349743_5f72a86fb2c71d3e8cbeb.png!small

获取到消息后,由keyboardHandler函数进行处理,进行键盘记录与写入,猜测再调用sendimpl函数将键盘记录发送到C2,但是这批样本似乎正处于开发中,并未嵌入C2。

1601349748_5f72a874ae7c91790fa47.png!small

1601349753_5f72a879422a8c58b132b.png!small

3 参考链接

Twitter:https://twitter.com/Vishnyak0v/status/1300704689865060353

文章地址:https://mp.weixin.qq.com/s/Cgbqoo0NelZX6ZebiNZQDw

来源:freebuf.com 2020-10-12 11:17:52 by: Viswing

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论