好友
阅读权限20
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 yangruiqi 于 2020-12-17 20:31 编辑
Kimsuky APT组织已经由多个安全团队进行了分析,它最早是由卡巴斯基研究人员于2013年发现,2019年半岛地区攻击活动频繁。该组织位于朝鲜,攻击对象主要是朝鲜相关的政治目标。结合历史的攻击记录,推测Kimsuky更关注于朝鲜半岛的政治外交问题,通常结合相关热点事件向目标发起鱼叉邮件攻击,攻击诱饵较多为hwp文档。
1
2. 样本概况
2.1 样本信息
文件名:简历样式.hwp.scr
大小:1156608bytes
MD5:47C95F19EBD745D588BB208FF89C90BA
SHA1:01172C3DAC99CAE246005752A6A66479D8861225
CRC32:39599F94
样本于2020年2月28日在推特上被公布
2.2 测试环境及工具
运行平台:Windows 7 X64 系统监控工具:火绒剑调试工具:X64Dbg、IDA Pro抓包软件:WireShark
3. 执行流程
3.1 功能简述
该样本是Kimsuky组织的一个远控木马,伪装成Word文档诱导受害者点击, 启动后会打开一个正常的文档文件, 同一时间攻击代码也会运行. 为逃避杀毒软件检测, 样本会经过多次加载才执行恶意模块. 启动较为隐蔽, 长久驻留在受害机中. 远控后门具有执行cmd, 下载执行文件, 窃取文件信息等功能.
3.2 执行流程概述
4. 载荷投递
4.1文档伪装
攻击使用的母体文件是可执行程序,伪装成Word文档的SCR文件,诱导用户点击,而其真实的扩展名为exe
当用户点击这个伪装成Word文档的专用户密码后,木马会在释放攻击代码的同时,释放一个真正的Word文档
释放的文档是一个正常的文件,并未包含恶意代码。Hwp文件是韩国主流的一种文档编辑软件生成的格式,韩国或使用韩文的群体使用,和Microsoft Office类似,但是文件需要使用相应的文档编辑器打开。
4.2第一阶段投递---释放xxx.tmp.db
母体文件运行时,会在%Temp%目录下释放PE文件
启动8584.tmp.db文件,进入第二阶段投递。临时文件的文件名随机,但路径和扩展名不变
释放并启动批处理文件,清理母体木马
4.3第二阶段投递---入侵explorer进程
一阶段样本自我复制,拷贝到WindowsDefender目录下,伪装成AutoUpdate.dll文件。由于WindowsDefender是微软系统装机自带的杀毒引擎,使用户误认为木马文件是系统更新文件
将自我复制的文件注册开机自启动项,在宿主机持久化驻留
寻找系统中的explorer进程,注入恶意代码
调用注入dll的导出函数,启动explorer中的恶意模块.进入第三阶段投递
释放并运行批处理文件,清除第二阶段的木马文件
4.4第三阶段投递---隐秘执行攻击代码
注入到explorer的代码,会在该进程中申请一块空间用于加载运行载荷文件
随后跳转到OEP,也即是DllMain部分执行真正的恶意代码
5. 载荷分析
5.1 功能简介
首先样本会创建一个线程来执行恶意代码
线程中主要有两个功能,发送上线包和下载文件执行后门模块. 每隔15分钟执行一次
上线包部分放到后面讲解
5.2 后门模块
后门模块接受控制指令方式与常见的后门不同, 样本中在执行控制指令前会先从CC端下载一个配置文件
文件在下载解密后, 数据体部分内存分布如下
控制指令在执行完后会发送回显数据包, 并删除下载的文件
后门主要功能如下图所示
6. 网络行为
6.1 上线包
攻击中使用的域名是suzuki.datastore.pe[.]hu,以密文硬编码形式存储到文件中,运行过程动态解密
上线包每隔15min发送一次,包含的信息有机器的Mac地址与系统版本信息
6.2 下载文件
样本中接收控制指令是通过下载文件的方式, 传输过程的文件是经过加密后的密文. 因无法捕获数据包,根据逆向分析推测下载文件数据格式如下,包含文件标识、校验和等字段
解密方式为,密文数据逐字节Xor密钥
6.3 通讯协议
样本与CC端通讯使用均为HTTP协议,总共有4种不同的HTTP请求,每种请求对应的功能如下| URL | 功能 | | hxxp[:]//suzuki.datastore.pe.hu//?m=a&p1=000c29de8b55&p2=win_6.1.7601-x64_DROPPER | 上线包 | | hxxp[:]//toyota.datastore.pe.hu//?m=b&p1=000c29de8b55&p2=a | 上传数据/返回CMD执行结果 | | hxxp[:]//suzuki.datastore.pe.hu//?m=c&p1=000c29de8b55 | 下载指定文件 | | hxxp[:]//suzuki.datastore.pe.hu//?m=d&p1=000c29de8b55 | 执行成功回显数据 |
6.4 定点攻击
样本中与CC端的所有通讯, 都而在分析中, 虚拟机中的机器请求控制指令时无法下载文件. 推测木马的控制端会根据mac地址下发不同的控制指令。
.
为了成功攻击目标. 该APT 组织应该已经通过信息收集获取到指定机器的mac地址. 可能只有指定机器才能下载到控制指令文件会携带参数p1, 值的含义是机器的MAC地址
7. 溯源分析
CC检索在这次攻击中,样本使用了两个域名, 用来分别处理宿主机的请求下图中的域名用于接收上线包, 下载控制指令文件, 接收执行回显
下图中的域名用于接收宿主机上传的文件信息等数据
两个域名目前均可访问,且指向同一IP地址
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2020-12-17 18:15
