疑似APT28最新键盘记录器分析

  • 疑似APT28最新键盘记录器分析已关闭评论
  • 10 views
  • A+

1 概述

9月初,威胁分析高级专家Alexey Vishnyakov在twitter上发布使用Nim语言编写的疑似APT28的键盘记录器类样本。白泽安全实验室获取Alexey Vishnyakov提供的样本进行分析,经分析,该类样本使用Nim语言编写,这似乎符合APT28近期恶意代码开发风格,而且该类键盘记录器样本似乎正在开发中,并没有嵌入C&C,这和Alexey Vishnyakov在twitter上阐述的信息基本一致。
以下是白泽安全实验室对疑似APT28的键盘记录器类样本进行的详细分析。

2 样本分析

Alexey Vishnyakov公布6个样本哈希,均是Nim语言编写键盘记录器且代码相似度非常高,因此只对其中一个样本进行分析,以下是样本详细分析。

将自身复制到%AppData%/Roaming/,复制后的名字为explorer.exe;其他样本自身复制后名称均不同。

图片.png

打开“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”将上文创建的explorer.exe写入,名称为Windows Explorer,将explorer.exe设置为开机启动。

图片.png

在新的线程里进行键盘记录,对WH_KEYBOARD_LL进行Hook。

图片.png

图片.png

获取到消息后,由keyboardHandler函数进行处理,进行键盘记录与写入,猜测再调用sendimpl函数将键盘记录发送到C2,但是这批样本似乎正处于开发中,并未嵌入C2。

图片.png

图片.png

3 参考链接

[1].https://twitter.com/Vishnyak0v/status/1300704689865060353

4 白泽安全实验室

原文地址:https://mp.weixin.qq.com/s/Cgbqoo0NelZX6ZebiNZQDw

专注APT发现、检测、取证、溯源相关网络安全技术研究。发布APT相关威胁情报、分享最新研究成果。

相关推荐: HFish初版审计学习

在之前学习golang的靶场之后,下来开始尝试一些真实环境的代码审计工作,于是我找到了HFsih并下载了最初的版本。 到这里可能有师傅问了:为什么不直接梭哈最新版本?当然是因为最初版本比较简单并且适合新人(~~并不是担心高版本找不到问题会很尴尬~~),哈哈 话…