【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

  • A+
所属分类:逆向工程
【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

本文为看雪论坛优秀文章

看雪论坛作者ID:binlmmhc


背景:Confucius组织,被疑似为南亚大陆印度政府背景支持的APT组织,该组织长期对南亚多国及我国相关政府、航天工业、船舶工业、海运等行业进行网络间谍窃密活动。本次分析组件疑似为该组织在2020年相关攻击活动中使用到的远控组件,目前似乎该组件并没有确切的名称,结合其目录等相关信息,将其命名为“CuoliVXaRAT”。

 

文件名称

feedback_to_NWRC.exe

文件功能及家族

远控/ CuoliVXaRAT

文件类型

exe

文件大小

3894784   bytes

文件开发语言

golang

编译时间(utc0)

/

PDB

/

VT首次提交时间

2020-03-30

VT首次提交方式及国家

/

MD5

eef2e2146a102e10297a91d28408cac3


golang编写程序,通过redress简单的查看该病毒的源码结构,其源码结构如下图,可以简单分析出该病毒并非规范化产生的攻击样本,样本功能较少,拥有截屏以及键盘记录器的功能。

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

该组件第一步尝试连接C2“213.252.245.191:8080”地址:

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

尝试创建目录“ProgramDataCuoliVXa”:

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

 

创建文件“ProgramDataCuoliVXaWindowAssistance.exe”:

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

创建脚本文件“ProgramDataCuoliVXareg.bat”:

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

reg.bat脚本内容为将“ProgramDataCuoliVXaWindowAssistance.exe”添加到注册表自启动项。

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

 

执行该reg.bat脚本:

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

 

判断是否驻留成功,并且base64编码对应的返回结果“[*] Persistence Enabled!”或者“[!] Persistence Failed!”。

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

接着尝试检测“WindowAssistance.exe”,然后弹出对话框用于打消目标的疑心。

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

对话框内容如下图:

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

开始接收C2传递命令,其C2传输数据使用base64进行了编码。

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

该组件拥有多个功能,包括但不限于命令执行、文件下载、文件上传、屏幕截图、键盘记录等。


命令

功能

download

文件下载

exit

退出

ls

列出文件

upload

上传文件

zip_multiple

通过正则匹配文件,将文件收集到目录“C:ProgramDatams_package”,并将该目录zip压缩到文件“C:ProgramDatams_package.zip”

lockscreen

锁屏

screenshot

屏幕截图

keylogger   start

启动键盘记录

persistence   enable

使用xxcopy将“WindowAssistance.exe”拷贝到目录“ProgramDataCuoliVXa”,并执行创建reg.bat并运行执行驻留

persistence   disable

删除文件,清除驻留项

 

另外通过对C2的关联,我们发现在VT上存在少许可疑URL,其传递参数通过base64编码。

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析


解码发现疑似国内某船舶工业行业公司相关人员中招,本次样本在2020年3月左右在野外发现,所以可以判断该次事件发生在2020年初。

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

通过简单的文件目录搜索,我们可以关联出2019年12月相关样本,该样本通过分析确认与本次分析的相同功能文件。

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析通过分析关联出的样本C2“185.25.51.6”,我们可以看到在2019年12月末到2020年初,该组织对我国航天行业发起了相关攻击行动。

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

该邮箱关联信息如下:

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

 IOC:

类型

详细信息

hash

eef2e2146a102e10297a91d28408cac3

hash

abff0cbde485d3176ea93a0c42ed41be

c2

213.252.245.191

c2

185.25.51.6

dir

ProgramDataCuoliVXa

path

ProgramDataCuoliVXaWindowAssistance.exe

dir

ProgramDatams_package

path

ProgramDatams_package.zip

 

yara检测规则:

rule   CuoliVXaRAT : cuolivxarat rat
{
meta:
description = "CuoliVXaRAT"
author = "binlmmhc"
date = "20210714"
hash = "eef2e2146a102e10297a91d28408cac3"
ref = "https://ti.qianxin.com/blog/articles/Operation-Angi:Ghostly-war-elephants-roaming-the-Himalayas/"
strings:
$path1 = "\ProgramData\CuoliVXa\" nocase
$path2 = "\ProgramData\ms_package\" nocase
$path3 = "\ProgramData\ms_package.zip" nocase
$data1 = "[*] Persistence Enabled!" nocase
$data2 = "[!] Persistence Failed!" nocase
condition:
uint32(0) == 0x905a4d and filesize < 10MB and (
1 of ($path*) or
1 of ($data*)
)
}

附件密码:infected

参考:

https://ti.qianxin.com/blog/articles/Operation-Angi:Ghostly-war-elephants-roaming-the-Himalayas/

https://www.hybrid-analysis.com/sample/dd6e5dcb62d43c7c1b100fdef2655ec5c2ab16080cb97d35936977b2642cd4f0/5cfa4e86028838f01d05aab4



【分析记录】疑似Confucius组织组件CuoliVXaRAT分析 


看雪ID:binlmmhc

https://bbs.pediy.com/user-home-748017.htm

  *本文由看雪论坛 binlmmhc 原创,转载请注明来自看雪社区


【分析记录】疑似Confucius组织组件CuoliVXaRAT分析


【分析记录】疑似Confucius组织组件CuoliVXaRAT分析


# 往期推荐

1. WOW怀旧服 明文发包获取和HOOK

2. X86内核笔记_2_驱动开发

3. 新的漏洞分析体验:CVE-2010-3333 RTF栈缓冲区溢出漏洞

4. 某鹅安全竞赛20年初赛ring0题解

5. 某知笔记服务端docker镜像授权分析

6. angr学习(三)一道自己模仿着出的简单题和angr-ctf符号化输入相关题目



【分析记录】疑似Confucius组织组件CuoliVXaRAT分析
公众号ID:ikanxue
官方微博:看雪安全
商务合作:[email protected]



【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

球分享

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

球点赞

【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

球在看



【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

点击“阅读原文”,了解更多!

本文始发于微信公众号(看雪学院):【分析记录】疑似Confucius组织组件CuoliVXaRAT分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: