透明部落APT组织的木马分析

admin 2020年9月29日18:07:12评论237 views字数 1475阅读4分55秒阅读模式

情报链接推特

推特情报大佬公开了透明部落组织的攻击载体,笔者尝试进行下载分析和溯源关联。

透明部落APT组织的木马分析

该样本主要采用了doc文档的宏进行主要载体的下发和执行。

详细分析

1.   Doc文档自身的宏代码

创建%ALLUSERSPROFILE%Drmdsia 文件夹。

透明部落APT组织的木马分析

这是存储在窗体中的数据。

透明部落APT组织的木马分析

透明部落APT组织的木马分析

根据系统版本,也就是以win8为版本界限进行不同载荷的分发。

透明部落APT组织的木马分析

获取数据后,遍历数据都转换为byte型。

透明部落APT组织的木马分析

进行字符拼接添加”xe”,形成exe后缀.进行二进制字节写入,头部刚好为4D5A。

透明部落APT组织的木马分析

透明部落APT组织的木马分析

然后运行该exe文件,并带入参数(4)。

进行主页文字的更改,替换成textbox2的值。

透明部落APT组织的木马分析

2.   PE文件

MD5:5414e98791d80ce3c0eadda6e00803e0

文件为木马的解压载体,dropper。

运行窗口类:

透明部落APT组织的木马分析

透明部落APT组织的木马分析

进行窗口初始化,进行窗口函数的注册,和参数的初始化。

透明部落APT组织的木马分析

进入到Form1_Load函数中。

透明部落APT组织的木马分析

首先进行文件解压。

透明部落APT组织的木马分析

透明部落APT组织的木马分析

将资源段的数据写入到” @”C:ProgramDataInthralhomgbrarn””中,然后进行移动更名为C:ProgramDataInthral rddlhasa.zip”然后进行解压,执行最终的深红木马。

第二个主要函数通过写入第二个资源数据到”C:UsersmalwareDocumentsthrovdgrva-12 .jpeg”中执行,不过这个样本中该资源数据为0,可能在之后添加新的载体。

透明部落APT组织的木马分析

3.   深红木马本体

MD5 77e3a20c53338c31259a5ff1a164de0b
创建时间 2020-07-18 19:42:53UTC
PDB g:newtimeshafimushomgbrarnhomgbrarnobjDebughomgbrarn.pdb

该木马和以前的木马功能架构上存在一致性,根据奇安信的分析报告可以看出相关功能,混淆除了字符串的不同,都是采用split进行字符提取。

透明部落APT组织的木马分析

Command function
xxxxxxx-procl 枚举进程并打印
xxxxxxx-getavs 枚举进程并打印
xxxxxxx-thumb 上传gif图像
xxxxxxx-clping 刷新运行时间
xxxxxxx-putsrt 复制木马,设置自启动
xxxxxxx-filsz 获取文件属性
xxxxxxx-rupth 返回文件路径
xxxxxxx-dowf 文件下载
xxxxxxx-endpo 结束指定进程
xxxxxxx-scrsz 设置截屏参数
xxxxxxx-cownar 写入文件并执行
xxxxxxx-cscreen 屏幕截图
xxxxxxx-dirs 获取磁盘目录信息
xxxxxxx-stops 停止截屏
xxxxxxx-scren 获取屏幕截图
xxxxxxx-cnls 参数初始化
xxxxxxx-udlt 用户删除
xxxxxxx-delt 文件删除
xxxxxxx-afile 读取文件信息
xxxxxxx-listf 文件搜索
xxxxxxx-file 上传文件
xxxxxxx-info 获取用户信息
xxxxxxx-runf 文件执行
xxxxxxx-fles 查找文件
xxxxxxx-dowr 文件下载
xxxxxxx-fldr 根据路径列出文件夹

透明部落APT组织的木马分析

CC地址为64.188.26.219

下面为端口号:

4820

6521

11422

15823

17824

IOC

MD5

71c0dc45746f79fdf3432956a16dc470

77e3a20c53338c31259a5ff1a164de0b

5414e98791d80ce3c0eadda6e00803e0

b00f497b8e657e6ac34c8481cf2fe16c

LP

64.188.26.219

透明部落APT组织的木马分析

精彩推荐





透明部落APT组织的木马分析
透明部落APT组织的木马分析透明部落APT组织的木马分析

透明部落APT组织的木马分析透明部落APT组织的木马分析透明部落APT组织的木马分析

透明部落APT组织的木马分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年9月29日18:07:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   透明部落APT组织的木马分析http://cn-sec.com/archives/143471.html

发表评论

匿名网友 填写信息