Gamaredon钓鱼样本分析

admin 2022年5月10日23:40:52程序逆向评论7 views1190字阅读3分58秒阅读模式

Gamaredon钓鱼样本分析


背景概述


Gamaredon组织是俄罗斯FSB(联邦安全局)长期军事和政治对抗乌克兰军事力量的网络间谍组织,至少自 2013 年以来一直活跃,长期负责发起针对乌克兰政府的定向攻击。近期,安恒信息应急响应中心监测到一例由Gamaredon制作的钓鱼样本。样本为SFX自解压文件,恶意代码执行后释放诱饵文档展示页面如下:

诱饵文档主要内容为:“前线武装、占领区相关管理人员的奖赏补贴和管理费用的预算账单说明”。

Gamaredon钓鱼样本分析



样本分析


SFX自解压程序执行时会释放名为watchta.exe的程序、释放并打开prem.docx诱饵文档。

Gamaredon钓鱼样本分析


SFX自解压程序压缩内容如下,在用户运行自解压程序时会将工作文件夹设置为%temp%目录并自动执行名为“1961419.cmd”的批处理脚本:

Gamaredon钓鱼样本分析


批处理脚本内容如下,首先释放出明文prem.docx的诱饵文档并打开,随后将压缩包中的exe程序重命名为 watchta.exe,结束当前进程列表中名为watchta.exe的进程并执行所释放的watchta.exe,等待12秒后再次带参执行watchta.exe 参数为“- autoreconnect -id: %RANDOM%_%COMPUTERNAME% - connect linux-techworld[.]com:443”


第一次执行watchta.exe会根据UltraVNC.ini配置文件配置被控端,密码为:passwd=A7F8FC867315B7FF5F。HTTP端口为:HTTPPortNumber=5800。

第二次执行的watchta.exe会根据参数连接到linux-techworld[.]com:443控制端。

Gamaredon钓鱼样本分析


经分析,watchta.exe具有uvnc bvba公司合法数字证书的VNC管理软件,使用合法的VNC管理软件可避免杀软查杀。

Gamaredon钓鱼样本分析

经测试发现该VNC软件包含强大的远程控制功能。

Gamaredon钓鱼样本分析


此次SFC自解压文件中与以往Gamaredon组织样本风格一致,执行批处理脚本配置文件。

Gamaredon钓鱼样本分析


安恒信息威胁情报平台已检出linux-techworld[.]com:443通信域名为Gamaredon组织资产。

Gamaredon钓鱼样本分析



IOC


7ZSfxMod_x86.exe

DE71A9BFCFA46F8186F53B41D7B7E40F

watchta.exe

6F0020F104E54165828A9F6239CCC2D6

linux-techworld[.]com:443



加固建议


  1. 定期检测系统漏洞并及时更新补丁;

  2. 定期修改用户名密码,避免使用弱口令;

  3. 不随意打开来历不明的邮件及附件;

  4. 不随意下载或打开来历不明的文件;

  5. 工作中的重要文件资料应设置严格的访问权限;

  6. 可使用安恒威胁分析平台https://ti.dbappsecurity.com.cn对未知文件进行检测。



安恒信息CERT

2022年5月

原文始发于微信公众号(安恒信息CERT):Gamaredon钓鱼样本分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月10日23:40:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Gamaredon钓鱼样本分析 http://cn-sec.com/archives/996578.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: