【PC样本分析】一个钓鱼后门的分析

  • A+
所属分类:安全文章

作者坛账号:yangruiqi


Kimsuky APT组织已经由多个安全团队进行了分析,它最早是由卡巴斯基研究人员于2013年发现,2019年半岛地区攻击活动频繁。该组织位于朝鲜,攻击对象主要是朝鲜相关的政治目标。结合历史的攻击记录,推测Kimsuky更关注于朝鲜半岛的政治外交问题,通常结合相关热点事件向目标发起鱼叉邮件攻击,攻击诱饵较多为hwp文档。
【PC样本分析】一个钓鱼后门的分析


2. 样本概况
2.1  样本信息

文件名:简历样式.hwp.scr
大小:1156608bytes
MD5:47C95F19EBD745D588BB208FF89C90BA
SHA1:01172C3DAC99CAE246005752A6A66479D8861225
CRC32:39599F94
样本于2020年2月28日在推特上被公布
【PC样本分析】一个钓鱼后门的分析

2.2  测试环境及工具
运行平台:Windows 7 X64 系统监控工具:火绒剑调试工具:X64Dbg、IDA Pro抓包软件:WireShark


3. 执行流程
3.1 功能简述

该样本是Kimsuky组织的一个远控木马,伪装成Word文档诱导受害者点击, 启动后会打开一个正常的文档文件, 同一时间攻击代码也会运行. 为逃避杀毒软件检测, 样本会经过多次加载才执行恶意模块. 启动较为隐蔽, 长久驻留在受害机中. 远控后门具有执行cmd, 下载执行文件, 窃取文件信息等功能.


3.2 执行流程概述

【PC样本分析】一个钓鱼后门的分析


4. 载荷投递
4.1文档伪装

攻击使用的母体文件是可执行程序,伪装成Word文档的SCR文件,诱导用户点击,而其真实的扩展名为exe
【PC样本分析】一个钓鱼后门的分析

当用户点击这个伪装成Word文档的专用户密码后,木马会在释放攻击代码的同时,释放一个真正的Word文档
【PC样本分析】一个钓鱼后门的分析

释放的文档是一个正常的文件,并未包含恶意代码。Hwp文件是韩国主流的一种文档编辑软件生成的格式,韩国或使用韩文的群体使用,和Microsoft Office类似,但是文件需要使用相应的文档编辑器打开。


4.2第一阶段投递---释放xxx.tmp.db
母体文件运行时,会在%Temp%目录下释放PE文件

【PC样本分析】一个钓鱼后门的分析


启动8584.tmp.db文件,进入第二阶段投递。临时文件的文件名随机,但路径和扩展名不变
【PC样本分析】一个钓鱼后门的分析

释放并启动批处理文件,清理母体木马

4.3第二阶段投递---入侵explorer进程
一阶段样本自我复制,拷贝到WindowsDefender目录下,伪装成AutoUpdate.dll文件。由于WindowsDefender是微软系统装机自带的杀毒引擎,使用户误认为木马文件是系统更新文件
【PC样本分析】一个钓鱼后门的分析

将自我复制的文件注册开机自启动项,在宿主机持久化驻留
【PC样本分析】一个钓鱼后门的分析
【PC样本分析】一个钓鱼后门的分析

寻找系统中的explorer进程,注入恶意代码
【PC样本分析】一个钓鱼后门的分析
【PC样本分析】一个钓鱼后门的分析

调用注入dll的导出函数,启动explorer中的恶意模块.进入第三阶段投递
【PC样本分析】一个钓鱼后门的分析


释放并运行批处理文件,清除第二阶段的木马文件
【PC样本分析】一个钓鱼后门的分析

4.4第三阶段投递---隐秘执行攻击代码
注入到explorer的代码,会在该进程中申请一块空间用于加载运行载荷文件

【PC样本分析】一个钓鱼后门的分析

随后跳转到OEP,也即是DllMain部分执行真正的恶意代码
【PC样本分析】一个钓鱼后门的分析

5.  载荷分析
5.1  功能简介

首先样本会创建一个线程来执行恶意代码
【PC样本分析】一个钓鱼后门的分析
【PC样本分析】一个钓鱼后门的分析

线程中主要有两个功能,发送上线包和下载文件执行后门模块. 每隔15分钟执行一次
【PC样本分析】一个钓鱼后门的分析

上线包部分放到后面讲解


5.2  后门模块
后门模块接受控制指令方式与常见的后门不同, 样本中在执行控制指令前会先从CC端下载一个配置文件


【PC样本分析】一个钓鱼后门的分析


文件在下载解密后, 数据体部分内存分布如下
【PC样本分析】一个钓鱼后门的分析

控制指令在执行完后会发送回显数据包, 并删除下载的文件
【PC样本分析】一个钓鱼后门的分析

后门主要功能如下图所示
【PC样本分析】一个钓鱼后门的分析

6.  网络行为
6.1  上线包

攻击中使用的域名是suzuki.datastore.pe[.]hu,以密文硬编码形式存储到文件中,运行过程动态解密
【PC样本分析】一个钓鱼后门的分析

上线包每隔15min发送一次,包含的信息有机器的Mac地址与系统版本信息
【PC样本分析】一个钓鱼后门的分析

6.2  下载文件
样本中接收控制指令是通过下载文件的方式, 传输过程的文件是经过加密后的密文. 因无法捕获数据包,根据逆向分析推测下载文件数据格式如下,包含文件标识、校验和等字段
【PC样本分析】一个钓鱼后门的分析

解密方式为,密文数据逐字节Xor密钥
【PC样本分析】一个钓鱼后门的分析

6.3  通讯协议
样本与CC端通讯使用均为HTTP协议,总共有4种不同的HTTP请求,每种请求对应的功能如下

  URL   功能
  hxxp[:]//suzuki.datastore.pe.hu//?m=a&p1=000c29de8b55&p2=win_6.1.7601-x64_DROPPER   上线包
  hxxp[:]//toyota.datastore.pe.hu//?m=b&p1=000c29de8b55&p2=a   上传数据/返回CMD执行结果
  hxxp[:]//suzuki.datastore.pe.hu//?m=c&p1=000c29de8b55   下载指定文件
  hxxp[:]//suzuki.datastore.pe.hu//?m=d&p1=000c29de8b55   执行成功回显数据


6.4  定点攻击
样本中与CC端的所有通讯, 都而在分析中, 虚拟机中的机器请求控制指令时无法下载文件. 推测木马的控制端会根据mac地址下发不同的控制指令。
【PC样本分析】一个钓鱼后门的分析

为了成功攻击目标. 该APT 组织应该已经通过信息收集获取到指定机器的mac地址. 可能只有指定机器才能下载到控制指令文件会携带参数p1, 值的含义是机器的MAC地址


7.  溯源分析
CC检索在这次攻击中,样本使用了两个域名, 用来分别处理宿主机的请求下图中的域名用于接收上线包, 下载控制指令文件, 接收执行回显

【PC样本分析】一个钓鱼后门的分析


下图中的域名用于接收宿主机上传的文件信息等数据
【PC样本分析】一个钓鱼后门的分析

两个域名目前均可访问,且指向同一IP地址
【PC样本分析】一个钓鱼后门的分析


--

www.52pojie.cn


--

pojie_52

本文始发于微信公众号(吾爱破解论坛):【PC样本分析】一个钓鱼后门的分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: