情报链接推特
推特情报大佬公开了透明部落组织的攻击载体,笔者尝试进行下载分析和溯源关联。
该样本主要采用了doc文档的宏进行主要载体的下发和执行。
详细分析
1. Doc文档自身的宏代码
创建%ALLUSERSPROFILE%Drmdsia 文件夹。
这是存储在窗体中的数据。
根据系统版本,也就是以win8为版本界限进行不同载荷的分发。
获取数据后,遍历数据都转换为byte型。
进行字符拼接添加”xe”,形成exe后缀.进行二进制字节写入,头部刚好为4D5A。
然后运行该exe文件,并带入参数(4)。
进行主页文字的更改,替换成textbox2的值。
2. PE文件
MD5:5414e98791d80ce3c0eadda6e00803e0
文件为木马的解压载体,dropper。
运行窗口类:
进行窗口初始化,进行窗口函数的注册,和参数的初始化。
进入到Form1_Load函数中。
首先进行文件解压。
将资源段的数据写入到” @”C:ProgramDataInthralhomgbrarn””中,然后进行移动更名为C:ProgramDataInthral rddlhasa.zip”然后进行解压,执行最终的深红木马。
第二个主要函数通过写入第二个资源数据到”C:UsersmalwareDocumentsthrovdgrva-12 .jpeg”中执行,不过这个样本中该资源数据为0,可能在之后添加新的载体。
3. 深红木马本体
| MD5 | 77e3a20c53338c31259a5ff1a164de0b |
|---|---|
| 创建时间 | 2020-07-18 19:42:53UTC |
| PDB | g:newtimeshafimushomgbrarnhomgbrarnobjDebughomgbrarn.pdb |
该木马和以前的木马功能架构上存在一致性,根据奇安信的分析报告可以看出相关功能,混淆除了字符串的不同,都是采用split进行字符提取。
| Command | function |
|---|---|
| xxxxxxx-procl | 枚举进程并打印 |
| xxxxxxx-getavs | 枚举进程并打印 |
| xxxxxxx-thumb | 上传gif图像 |
| xxxxxxx-clping | 刷新运行时间 |
| xxxxxxx-putsrt | 复制木马,设置自启动 |
| xxxxxxx-filsz | 获取文件属性 |
| xxxxxxx-rupth | 返回文件路径 |
| xxxxxxx-dowf | 文件下载 |
| xxxxxxx-endpo | 结束指定进程 |
| xxxxxxx-scrsz | 设置截屏参数 |
| xxxxxxx-cownar | 写入文件并执行 |
| xxxxxxx-cscreen | 屏幕截图 |
| xxxxxxx-dirs | 获取磁盘目录信息 |
| xxxxxxx-stops | 停止截屏 |
| xxxxxxx-scren | 获取屏幕截图 |
| xxxxxxx-cnls | 参数初始化 |
| xxxxxxx-udlt | 用户删除 |
| xxxxxxx-delt | 文件删除 |
| xxxxxxx-afile | 读取文件信息 |
| xxxxxxx-listf | 文件搜索 |
| xxxxxxx-file | 上传文件 |
| xxxxxxx-info | 获取用户信息 |
| xxxxxxx-runf | 文件执行 |
| xxxxxxx-fles | 查找文件 |
| xxxxxxx-dowr | 文件下载 |
| xxxxxxx-fldr | 根据路径列出文件夹 |
CC地址为64.188.26.219
下面为端口号:
4820
6521
11422
15823
17824
IOC
MD5
71c0dc45746f79fdf3432956a16dc470
77e3a20c53338c31259a5ff1a164de0b
5414e98791d80ce3c0eadda6e00803e0
b00f497b8e657e6ac34c8481cf2fe16c
LP
64.188.26.219
精彩推荐
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论