一个钓鱼后门的分析
本帖最后由 yangruiqi 于 2020-12-17 20:31 编辑Kimsuky APT组织已经由多个安全团队进行了分析,它最早是由卡巴斯基研究人员于2013年发现,2019年半岛地区攻击活动频繁。该组织位于朝鲜,攻击对象主要是朝鲜相关的政治目标。结合历史的攻击记录,推测Kimsuky更关注于朝鲜半岛的政治外交问题,通常结合相关热点事件向目标发起鱼叉邮件攻击,攻击诱饵较多为hwp文档。
2. 样本概况
2.1样本信息
文件名:简历样式.hwp.scr
大小:1156608bytes
MD5:47C95F19EBD745D588BB208FF89C90BA
SHA1:01172C3DAC99CAE246005752A6A66479D8861225
CRC32:39599F94
样本于2020年2月28日在推特上被公布
2.2测试环境及工具
运行平台:Windows 7 X64 系统监控工具:火绒剑调试工具:X64Dbg、IDA Pro抓包软件:WireShark
3. 执行流程
3.1 功能简述
该样本是Kimsuky组织的一个远控木马,伪装成Word文档诱导受害者点击, 启动后会打开一个正常的文档文件, 同一时间攻击代码也会运行. 为逃避杀毒软件检测, 样本会经过多次加载才执行恶意模块. 启动较为隐蔽, 长久驻留在受害机中. 远控后门具有执行cmd, 下载执行文件, 窃取文件信息等功能.
3.2 执行流程概述
4. 载荷投递
4.1文档伪装
攻击使用的母体文件是可执行程序,伪装成Word文档的SCR文件,诱导用户点击,而其真实的扩展名为exe
当用户点击这个伪装成Word文档的专用户密码后,木马会在释放攻击代码的同时,释放一个真正的Word文档
释放的文档是一个正常的文件,并未包含恶意代码。Hwp文件是韩国主流的一种文档编辑软件生成的格式,韩国或使用韩文的群体使用,和Microsoft Office类似,但是文件需要使用相应的文档编辑器打开。
4.2第一阶段投递---释放xxx.tmp.db
母体文件运行时,会在%Temp%目录下释放PE文件
启动8584.tmp.db文件,进入第二阶段投递。临时文件的文件名随机,但路径和扩展名不变
释放并启动批处理文件,清理母体木马
4.3第二阶段投递---入侵explorer进程
一阶段样本自我复制,拷贝到WindowsDefender目录下,伪装成AutoUpdate.dll文件。由于WindowsDefender是微软系统装机自带的杀毒引擎,使用户误认为木马文件是系统更新文件
将自我复制的文件注册开机自启动项,在宿主机持久化驻留
寻找系统中的explorer进程,注入恶意代码
调用注入dll的导出函数,启动explorer中的恶意模块.进入第三阶段投递
释放并运行批处理文件,清除第二阶段的木马文件
4.4第三阶段投递---隐秘执行攻击代码
注入到explorer的代码,会在该进程中申请一块空间用于加载运行载荷文件
随后跳转到OEP,也即是DllMain部分执行真正的恶意代码
5.载荷分析
5.1功能简介
首先样本会创建一个线程来执行恶意代码
线程中主要有两个功能,发送上线包和下载文件执行后门模块. 每隔15分钟执行一次
上线包部分放到后面讲解
5.2后门模块
后门模块接受控制指令方式与常见的后门不同, 样本中在执行控制指令前会先从CC端下载一个配置文件
文件在下载解密后, 数据体部分内存分布如下
控制指令在执行完后会发送回显数据包, 并删除下载的文件
后门主要功能如下图所示
6.网络行为
6.1上线包
攻击中使用的域名是suzuki.datastore.pe[.]hu,以密文硬编码形式存储到文件中,运行过程动态解密
上线包每隔15min发送一次,包含的信息有机器的Mac地址与系统版本信息
6.2下载文件
样本中接收控制指令是通过下载文件的方式, 传输过程的文件是经过加密后的密文. 因无法捕获数据包,根据逆向分析推测下载文件数据格式如下,包含文件标识、校验和等字段
解密方式为,密文数据逐字节Xor密钥
6.3通讯协议
样本与CC端通讯使用均为HTTP协议,总共有4种不同的HTTP请求,每种请求对应的功能如下
URL功能
hxxp[:]//suzuki.datastore.pe.hu//?m=a&p1=000c29de8b55&p2=win_6.1.7601-x64_DROPPER上线包
hxxp[:]//toyota.datastore.pe.hu//?m=b&p1=000c29de8b55&p2=a上传数据/返回CMD执行结果
hxxp[:]//suzuki.datastore.pe.hu//?m=c&p1=000c29de8b55下载指定文件
hxxp[:]//suzuki.datastore.pe.hu//?m=d&p1=000c29de8b55执行成功回显数据
6.4定点攻击
样本中与CC端的所有通讯, 都而在分析中, 虚拟机中的机器请求控制指令时无法下载文件. 推测木马的控制端会根据mac地址下发不同的控制指令。
.
为了成功攻击目标. 该APT 组织应该已经通过信息收集获取到指定机器的mac地址. 可能只有指定机器才能下载到控制指令文件会携带参数p1, 值的含义是机器的MAC地址
7.溯源分析
CC检索在这次攻击中,样本使用了两个域名, 用来分别处理宿主机的请求下图中的域名用于接收上线包, 下载控制指令文件, 接收执行回显
下图中的域名用于接收宿主机上传的文件信息等数据
两个域名目前均可访问,且指向同一IP地址
对我这种每个月重装一次系统的人来说 病毒没啥意义毕竟我比较喜欢浏览各种各样的网站也不知道啥时候可能中招 定时重装就完了 星耀 发表于 2020-12-24 08:05
电脑买了一年多了7000+的台式机 重装不下三十次并没有感觉哪里有问题能玩三年就足够了 电子产品更新 ...
那还不如直接装影子系统得了,说明电脑对你而言没多重要。我如果要重装一次都要疯了,差不多100款软件。ide的各种配置要弄,不得烦死? 一个字,牛 两个字,厉害 不明觉厉 太强了吧,, 这是外国的病毒,牛逼啊!! 哇哦,哇塞 看不懂,但大佬 干的漂亮 有点复杂哦!!!!!!