透明部落APT组织的木马分析

  • A+
所属分类:安全文章

情报链接推特

推特情报大佬公开了透明部落组织的攻击载体,笔者尝试进行下载分析和溯源关联。

透明部落APT组织的木马分析

该样本主要采用了doc文档的宏进行主要载体的下发和执行。

详细分析

1.   Doc文档自身的宏代码

创建%ALLUSERSPROFILE%Drmdsia 文件夹。

透明部落APT组织的木马分析

这是存储在窗体中的数据。

透明部落APT组织的木马分析

透明部落APT组织的木马分析

根据系统版本,也就是以win8为版本界限进行不同载荷的分发。

透明部落APT组织的木马分析

获取数据后,遍历数据都转换为byte型。

透明部落APT组织的木马分析

进行字符拼接添加”xe”,形成exe后缀.进行二进制字节写入,头部刚好为4D5A。

透明部落APT组织的木马分析

透明部落APT组织的木马分析

然后运行该exe文件,并带入参数(4)。

进行主页文字的更改,替换成textbox2的值。

透明部落APT组织的木马分析

2.   PE文件

MD5:5414e98791d80ce3c0eadda6e00803e0

文件为木马的解压载体,dropper。

运行窗口类:

透明部落APT组织的木马分析

透明部落APT组织的木马分析

进行窗口初始化,进行窗口函数的注册,和参数的初始化。

透明部落APT组织的木马分析

进入到Form1_Load函数中。

透明部落APT组织的木马分析

首先进行文件解压。

透明部落APT组织的木马分析

透明部落APT组织的木马分析

将资源段的数据写入到” @”C:ProgramDataInthralhomgbrarn””中,然后进行移动更名为C:ProgramDataInthral rddlhasa.zip”然后进行解压,执行最终的深红木马。

第二个主要函数通过写入第二个资源数据到”C:UsersmalwareDocumentsthrovdgrva-12 .jpeg”中执行,不过这个样本中该资源数据为0,可能在之后添加新的载体。

透明部落APT组织的木马分析

3.   深红木马本体

MD5 77e3a20c53338c31259a5ff1a164de0b
创建时间 2020-07-18 19:42:53UTC
PDB g:newtimeshafimushomgbrarnhomgbrarnobjDebughomgbrarn.pdb

该木马和以前的木马功能架构上存在一致性,根据奇安信的分析报告可以看出相关功能,混淆除了字符串的不同,都是采用split进行字符提取。

透明部落APT组织的木马分析

Command function
xxxxxxx-procl 枚举进程并打印
xxxxxxx-getavs 枚举进程并打印
xxxxxxx-thumb 上传gif图像
xxxxxxx-clping 刷新运行时间
xxxxxxx-putsrt 复制木马,设置自启动
xxxxxxx-filsz 获取文件属性
xxxxxxx-rupth 返回文件路径
xxxxxxx-dowf 文件下载
xxxxxxx-endpo 结束指定进程
xxxxxxx-scrsz 设置截屏参数
xxxxxxx-cownar 写入文件并执行
xxxxxxx-cscreen 屏幕截图
xxxxxxx-dirs 获取磁盘目录信息
xxxxxxx-stops 停止截屏
xxxxxxx-scren 获取屏幕截图
xxxxxxx-cnls 参数初始化
xxxxxxx-udlt 用户删除
xxxxxxx-delt 文件删除
xxxxxxx-afile 读取文件信息
xxxxxxx-listf 文件搜索
xxxxxxx-file 上传文件
xxxxxxx-info 获取用户信息
xxxxxxx-runf 文件执行
xxxxxxx-fles 查找文件
xxxxxxx-dowr 文件下载
xxxxxxx-fldr 根据路径列出文件夹

透明部落APT组织的木马分析

CC地址为64.188.26.219

下面为端口号:

4820

6521

11422

15823

17824

IOC

MD5

71c0dc45746f79fdf3432956a16dc470

77e3a20c53338c31259a5ff1a164de0b

5414e98791d80ce3c0eadda6e00803e0

b00f497b8e657e6ac34c8481cf2fe16c

LP

64.188.26.219

透明部落APT组织的木马分析

精彩推荐





透明部落APT组织的木马分析
透明部落APT组织的木马分析透明部落APT组织的木马分析

透明部落APT组织的木马分析透明部落APT组织的木马分析透明部落APT组织的木马分析

透明部落APT组织的木马分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: