跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

一个钓鱼后门的分析

HACK1949
HACK1949
问答中心

精选回复

发布于

一个钓鱼后门的分析

5fe54905110d3.png

Kimsuky APT组织已经由多个安全团队进行了分析,它最早是由卡巴斯基研究人员于2013年发现,2019年半岛地区攻击活动频繁。该组织位于朝鲜,攻击对象主要是朝鲜相关的政治目标。结合历史的攻击记录,推测Kimsuky更关注于朝鲜半岛的政治外交问题,通常结合相关热点事件向目标发起鱼叉邮件攻击,攻击诱饵较多为hwp文档。

175928ofdd4iqznkfqp4mf.png

2. 样本概况

2.1  样本信息

文件名:简历样式.hwp.scr

大小:1156608bytes

MD547C95F19EBD745D588BB208FF89C90BA

SHA101172C3DAC99CAE246005752A6A66479D8861225

CRC3239599F94

样本于2020228日在推特上被公布

180125zi7kkixihvnjqdnn.png

2.2  测试环境及工具

运行平台:Windows 7 X64 系统监控工具:火绒剑调试工具:X64Dbg、IDA Pro抓包软件:WireShark

3. 执行流程

3.1 功能简述

该样本是Kimsuky组织的一个远控木马,伪装成Word文档诱导受害者点击启动后会打开一个正常的文档文件同一时间攻击代码也会运行为逃避杀毒软件检测样本会经过多次加载才执行恶意模块启动较为隐蔽长久驻留在受害机中远控后门具有执行cmd, 下载执行文件窃取文件信息等功能.

3.2 执行流程概述

180205ypkettra0icake0f.png

4. 载荷投递

4.1文档伪装

攻击使用的母体文件是可执行程序,伪装成Word文档的SCR文件,诱导用户点击,而其真实的扩展名为exe

180246lfttwtifn7yy58tc.png

当用户点击这个伪装成Word文档的专用户密码后,木马会在释放攻击代码的同时,释放一个真正的Word文档

180326t7zaadnbanpwydyy.png

释放的文档是一个正常的文件,并未包含恶意代码。Hwp文件是韩国主流的一种文档编辑软件生成的格式,韩国或使用韩文的群体使用,和Microsoft Office类似,但是文件需要使用相应的文档编辑器打开

4.2第一阶段投递---释放xxx.tmp.db

母体文件运行时,会在%Temp%目录下释放PE文件

180423bsug0rggjj0gnptp.png

启动8584.tmp.db文件,进入第二阶段投递。临时文件的文件名随机,但路径和扩展名不变

180457cgbn3hgzvm4vxenu.png

释放并启动批处理文件,清理母体木马

4.3第二阶段投递---入侵explorer进程

一阶段样本自我复制,拷贝到WindowsDefender目录下,伪装成AutoUpdate.dll文件。由于WindowsDefender是微软系统装机自带的杀毒引擎,使用户误认为木马文件是系统更新文件

180545j7a0jjaziqwa7qct.png

将自我复制的文件注册开机自启动项,在宿主机持久化驻留

200245w6mpa346inpi4xz6.png

180619t4878y84txyyr11y.png

寻找系统中的explorer进程,注入恶意代码

200307dpfyxx4qzaxgx5a0.png

200343epj5bjbwjbjwljj4.png

调用注入dll的导出函数,启动explorer中的恶意模块.进入第三阶段投递

200359u5tqrmmcmpepxptu.png

释放并运行批处理文件,清除第二阶段的木马文件

200419v8b2b16p8p02zp6o.png

4.4第三阶段投递---隐秘执行攻击代码

注入到explorer的代码,会在该进程中申请一块空间用于加载运行载荷文件

200511ztm0ymnnvyyr9n0z.png

随后跳转到OEP,也即是DllMain部分执行真正的恶意代码

200527n83q8r2ddyfd3r3h.png

5.  载荷分析

5.1  功能简介

首先样本会创建一个线程来执行恶意代码

200544ejhk2f2lj6mswikw.png

180854p8rydtdv8x0r9gvd.png

线程中主要有两个功能,发送上线包和下载文件执行后门模块. 每隔15分钟执行一次

200555endq8enx3zxjf0sk.png

上线包部分放到后面讲解

5.2  后门模块

后门模块接受控制指令方式与常见的后门不同, 样本中在执行控制指令前会先从CC端下载一个配置文件

180942sc8ikjriql8jkkri.png

文件在下载解密后, 数据体部分内存分布如下

180956c43r4igzqqgrrxbr.png

控制指令在执行完后会发送回显数据包, 并删除下载的文件

181020ivqz14i5p4i644qy.png

后门主要功能如下图所示

200938gsddqr7trszjbbn6.png

6.  网络行为

6.1  上线包

攻击中使用的域名是suzuki.datastore.pe[.]hu,以密文硬编码形式存储到文件中,运行过程动态解密

181053vf7l79davflywl6s.png

上线包每隔15min发送一次,包含的信息有机器的Mac地址与系统版本信息

181117m1ysy5el29zs5nn2.png

6.2  下载文件

样本中接收控制指令是通过下载文件的方式传输过程的文件是经过加密后的密文因无法捕获数据包,根据逆向分析推测下载文件数据格式如下,包含文件标识、校验和等字段

201705ge5ohb5qe49ttq94.png

解密方式为,密文数据逐字节Xor密钥

181148nid2pb39s2bd9dad.png

6.3  通讯协议

样本与CC端通讯使用均为HTTP协议,总共有4种不同的HTTP请求,每种请求对应的功能如下

  URL  功能
  hxxp[:]//suzuki.datastore.pe.hu//?m=a&p1=000c29de8b55&p2=win_6.1.7601-x64_DROPPER  上线包
  hxxp[:]//toyota.datastore.pe.hu//?m=b&p1=000c29de8b55&p2=a  上传数据/返回CMD执行结果
  hxxp[:]//suzuki.datastore.pe.hu//?m=c&p1=000c29de8b55  下载指定文件
  hxxp[:]//suzuki.datastore.pe.hu//?m=d&p1=000c29de8b55  执行成功回显数据

6.4  定点攻击

样本中与CC端的所有通讯而在分析中虚拟机中的机器请求控制指令时无法下载文件推测木马的控制端会根据mac地址下发不同的控制指令。

181246c050x6pbe0em1p6e.png

为了成功攻击目标APT 组织应该已经通过信息收集获取到指定机器的mac地址可能只有指定机器才能下载到控制指令文件会携带参数p1, 值的含义是机器的MAC地址

7.  溯源分析

CC检索在这次攻击中,样本使用了两个域名, 用来分别处理宿主机的请求下图中的域名用于接收上线包, 下载控制指令文件, 接收执行回显

201738xyfc1ocfcokfgfuc.png

下图中的域名用于接收宿主机上传的文件信息等数据

201751vbaodogjgo0mamm6.png

image.png (62.26 KB, 下载次数: 0)

下载附件  保存到相册

2020-12-17 20:17 上传


两个域名目前均可访问,且指向同一IP地址

200115o7uojs4jzqmj1ukk.png

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。