【PC样本分析】一个钓鱼后门的分析

作者论坛账号：yangruiqi

Kimsuky APT组织已经由多个安全团队进行了分析，它最早是由卡巴斯基研究人员于2013年发现，2019年半岛地区攻击活动频繁。该组织位于朝鲜，攻击对象主要是朝鲜相关的政治目标。结合历史的攻击记录，推测Kimsuky更关注于朝鲜半岛的政治外交问题，通常结合相关热点事件向目标发起鱼叉邮件攻击，攻击诱饵较多为hwp文档。

2. 样本概况
2.1  样本信息
文件名：简历样式.hwp.scr
大小：1156608bytes
MD5：47C95F19EBD745D588BB208FF89C90BA
SHA1：01172C3DAC99CAE246005752A6A66479D8861225
CRC32：39599F94
样本于2020年2月28日在推特上被公布

2.2  测试环境及工具
运行平台：Windows 7 X64 系统监控工具：火绒剑调试工具：X64Dbg、IDA Pro抓包软件：WireShark

3. 执行流程
3.1 功能简述
该样本是Kimsuky组织的一个远控木马,伪装成Word文档诱导受害者点击, 启动后会打开一个正常的文档文件, 同一时间攻击代码也会运行. 为逃避杀毒软件检测, 样本会经过多次加载才执行恶意模块. 启动较为隐蔽, 长久驻留在受害机中. 远控后门具有执行cmd, 下载执行文件, 窃取文件信息等功能.

3.2 执行流程概述

4. 载荷投递
4.1文档伪装
攻击使用的母体文件是可执行程序，伪装成Word文档的SCR文件，诱导用户点击，而其真实的扩展名为exe


当用户点击这个伪装成Word文档的专用户密码后，木马会在释放攻击代码的同时，释放一个真正的Word文档

释放的文档是一个正常的文件，并未包含恶意代码。Hwp文件是韩国主流的一种文档编辑软件生成的格式，韩国或使用韩文的群体使用，和Microsoft Office类似，但是文件需要使用相应的文档编辑器打开。

4.2第一阶段投递---释放xxx.tmp.db
母体文件运行时，会在%Temp%目录下释放PE文件

启动8584.tmp.db文件，进入第二阶段投递。临时文件的文件名随机，但路径和扩展名不变


释放并启动批处理文件，清理母体木马

4.3第二阶段投递---入侵explorer进程
一阶段样本自我复制，拷贝到WindowsDefender目录下，伪装成AutoUpdate.dll文件。由于WindowsDefender是微软系统装机自带的杀毒引擎,使用户误认为木马文件是系统更新文件

将自我复制的文件注册开机自启动项,在宿主机持久化驻留

寻找系统中的explorer进程,注入恶意代码

调用注入dll的导出函数,启动explorer中的恶意模块.进入第三阶段投递

释放并运行批处理文件,清除第二阶段的木马文件

4.4第三阶段投递---隐秘执行攻击代码
注入到explorer的代码,会在该进程中申请一块空间用于加载运行载荷文件

随后跳转到OEP,也即是DllMain部分执行真正的恶意代码

5.  载荷分析
5.1  功能简介
首先样本会创建一个线程来执行恶意代码

线程中主要有两个功能,发送上线包和下载文件执行后门模块. 每隔15分钟执行一次

上线包部分放到后面讲解

5.2  后门模块
后门模块接受控制指令方式与常见的后门不同, 样本中在执行控制指令前会先从CC端下载一个配置文件

文件在下载解密后, 数据体部分内存分布如下

控制指令在执行完后会发送回显数据包, 并删除下载的文件

后门主要功能如下图所示

6.  网络行为
6.1  上线包
攻击中使用的域名是suzuki.datastore.pe[.]hu，以密文硬编码形式存储到文件中，运行过程动态解密


上线包每隔15min发送一次，包含的信息有机器的Mac地址与系统版本信息

6.2  下载文件
样本中接收控制指令是通过下载文件的方式, 传输过程的文件是经过加密后的密文. 因无法捕获数据包，根据逆向分析推测下载文件数据格式如下，包含文件标识、校验和等字段

解密方式为，密文数据逐字节Xor密钥

6.3  通讯协议
样本与CC端通讯使用均为HTTP协议，总共有4种不同的HTTP请求，每种请求对应的功能如下

URL	功能
hxxp[:]//suzuki.datastore.pe.hu//?m=a&p1=000c29de8b55&p2=win_6.1.7601-x64_DROPPER	上线包
hxxp[:]//toyota.datastore.pe.hu//?m=b&p1=000c29de8b55&p2=a	上传数据/返回CMD执行结果
hxxp[:]//suzuki.datastore.pe.hu//?m=c&p1=000c29de8b55	下载指定文件
hxxp[:]//suzuki.datastore.pe.hu//?m=d&p1=000c29de8b55	执行成功回显数据

6.4  定点攻击
样本中与CC端的所有通讯, 都而在分析中, 虚拟机中的机器请求控制指令时无法下载文件. 推测木马的控制端会根据mac地址下发不同的控制指令。
. 

为了成功攻击目标. 该APT 组织应该已经通过信息收集获取到指定机器的mac地址. 可能只有指定机器才能下载到控制指令文件会携带参数p1, 值的含义是机器的MAC地址

7.  溯源分析
CC检索在这次攻击中,样本使用了两个域名, 用来分别处理宿主机的请求下图中的域名用于接收上线包, 下载控制指令文件, 接收执行回显

下图中的域名用于接收宿主机上传的文件信息等数据

两个域名目前均可访问,且指向同一IP地址

--官方论坛

www.52pojie.cn

--推荐给朋友

公众微信号：吾爱破解论坛

或搜微信号：pojie_52

本文始发于微信公众号（吾爱破解论坛）：【PC样本分析】一个钓鱼后门的分析