APT 蔓灵花样本分析

admin 2022年11月9日12:05:18安全新闻评论7 views1789字阅读5分57秒阅读模式

APT 蔓灵花样本分析

本文为看雪论坛优秀文章

看雪论坛作者ID:戴夫的小推车





ATP简介


蔓灵花又名BITTER、APT-C-08、苦象、T-APT-17等称号,是一个据称有南亚背景的APT组织,具有强烈的政治背景,至少从2013年11月以来就开始活跃,一直未被发现,直到2016年才被国外安全厂商Forcepoint【2】首次披露。主要针对巴基斯坦、中国两国。其攻击目标为政府、电力、军工业相关单位,意图窃取敏感资料。






概述


样本是一个自解压文件,运行后在"C:intellogs"释放且运行真实样本(dlhost.exe)和诱饵文档(开证装期邮件.pdf)。样本运行后首先尝试能否与CC通信,通信成功后收集主机名、帐户名、当前系统信息、系统版本、Guid,将信息拼接后发送到CC并下载后续样本对机器进一步控制。

通过调研拓线找到通信后释放的其中一个样本(还有键盘记录等,但未下载到样本),该样本功能为将"C:\Intel\Logs\audiodq.exe"写入注册表(audiodq.exe与dlhost.exe为同源样本)。





一阶样本


3.1)基础信息


APT 蔓灵花样本分析
表 基础信息

样本运行后在"C:intellogs"释放且运行真实样本(dlhost.exe)和诱饵文档(开证装期邮件.pdf)。样本先尝试能否与CC通信,通信成功后收集主机名、帐户名、当前系统信息、系统版本、Guid,将信息拼接后发送到CC并下载后续样本对受控机进一步控制。
APT 蔓灵花样本分析
图 自解压样本

APT 蔓灵花样本分析
图 样本和诱饵文档释放

APT 蔓灵花样本分析
图 诱饵文档正文

3.2)静态分析


样本首先解密字符串,获取配置文件。
APT 蔓灵花样本分析
图 解密字符串示例

调用CreateSemaphoreA函数创建"7t56yr54r"互斥体。
APT 蔓灵花样本分析
图 创建互斥体

尝试连接CC。
APT 蔓灵花样本分析
图 尝试连接CC

在样本建立通信后,收集主机名、帐户名、当前系统信息、系统版本、Guid。
APT 蔓灵花样本分析
图 信息收集

在通信成功后,将接收CC传输的文件,重命名为xxx.exe并调用函数"ShellExecuteA"执行后续样本。
APT 蔓灵花样本分析
图 执行接收到的后续样本


3.3)动态分析


前期解密所需字符串获取通信目标"http://162.0.229.203/RguhsT/RguhsT/accept[.]php"等配置信息。
APT 蔓灵花样本分析
图 解密配置信息

调用函数"GetComputerNameA"、"GetUserNameA"、"GetSystemInfo"以及查询注册表"Software\Microsoft\Cryptography"下的"MachineGuid"值,获取"software\Microsoft\Windows NT\CurrentVersion"下的"ProductName"。
APT 蔓灵花样本分析
APT 蔓灵花样本分析
图 信息收集示例

随后将信息拼接,发送至CC 162.0.229[.]203。
APT 蔓灵花样本分析
图 信息拼接

APT 蔓灵花样本分析
图 信息发送




二阶样本


1)基本信息


APT 蔓灵花样本分析

表 基本信息


该样本为调研拖线后获得,因audiodq.exe与dlhost.exe为同源样本,所以该样本理论上也能将dlhost.exe(一阶样本)写入注册表中,属于一阶样本通信成功后续释放的插件。

样本运行后创建窗口并设置隐藏属性,解密字符串"SOFTWARE\Microsoft\Windows\CurrentVersion\Run"、"C:\Intel\Logs\audiodq.exe",调用函数"RegSetValueExA"设置样本自动启功能,设置完后程序退出。

首先设置隐藏运行窗口。
APT 蔓灵花样本分析
图 设置窗口参数

打开注册表"SOFTWARE\Microsoft\Windows\CurrentVersion\Run",将后续程序"audiodq.exe"写入该注册表中设置为自启动,强化控守能力。
APT 蔓灵花样本分析
图 设置启动项



APT 蔓灵花样本分析


看雪ID:戴夫的小推车

https://bbs.pediy.com/user-home-952303.htm

*本文由看雪论坛 戴夫的小推车 原创,转载请注明来自看雪社区

APT 蔓灵花样本分析

看雪CTF官网:https://ctf.pediy.com/



# 往期推荐

1.CVE-2022-21882提权漏洞学习笔记

2.wibu证书 - 初探

3.win10 1909逆向之APIC中断和实验

4.EMET下EAF机制分析以及模拟实现

5.sql注入学习分享

6.V8 Array.prototype.concat函数出现过的issues和他们的POC们



APT 蔓灵花样本分析


APT 蔓灵花样本分析

球分享

APT 蔓灵花样本分析

球点赞

APT 蔓灵花样本分析

球在看



APT 蔓灵花样本分析

点击“阅读原文”,了解更多!

原文始发于微信公众号(看雪学苑):APT 蔓灵花样本分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月9日12:05:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  APT 蔓灵花样本分析 http://cn-sec.com/archives/1394072.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: