背景介绍
蔓灵花组织,又称为BITTER、APT-C-08。是一支据称有南亚背景的高级持久性威胁组织。最早活跃于2013年,以东南亚地区周边国家为主要活动区域,专注于对高价值单位,如政府部门、能源企业、军工企业、高校等等进行长期的数据监控和信息窃取。本次山石情报中心将针对近期海外设备发现的一个蔓灵花相关的样本功能进行分析。
总体流程
样本分析
Msrete.exe:
查看msrete.exe中pe信息,可以看到该文件为.Net文件。
加载到dnspy进行分析,在main函数可以看到如下结构。
其中在ProcessClient.Initialize函数中可以看到注册功能函数。
函数指令和指定代码对应如下:
|
|
opcode |
|
FileMgr get drives |
18 |
|
FileMgr get Folders |
19 |
|
Get Comand |
35 |
|
Sart Comand Prompt |
36 |
|
FileTransfer Begin |
38 |
|
FileTransfer Data |
39 |
|
FileTransfer Complete |
40 |
|
FileTransfer for downloading start |
41 |
|
Get Command |
48 |
|
Start Command Prompt |
49 |
|
Stop Command Prompt |
50 |
|
Connection Status |
51 |
“FileMgr get Folders”
该函数分为两部分,第一部分上传文件夹信息,第二部分上传文件信息。
发送指定文件夹内包含子文件夹路径。
发送文件夹内文件信息,包含文件名、最后更改时间、拓展名、文件大小等。
“Sart Comand Prompt”
创建powershell.exe进程,通过管道进行通信,向远端服务器提供shell。
“FileTransfer Complete”
从文件传输列表中删除指定文件路径。
该指令与上述提到的三个指令类似,但不同的是该指令是将文件传输至服务器。核心代码如下,在传输的过程中会将文件拆分为30000000字节大小的数据块进行传输。
-
上方为35编号的进程路径
-
下发为48编号的进程路径
“Connection Status”
无动作,推测功能为心跳包。
IOC
Md5:
-
de7080b60f2dc1f5c92fc126d8c668bf -
c65ec525f6c7738e75404ef734fef4d4
domain:
-
loganwcshost.com
处置建议
可使用山石网科防火墙和NIPS产品的C2和AV防护模块来防范该风险,请确保将特征库升级最新版本。山石网科防火墙与态势感知云景可以有效地预警并拦截与APT组织相关的威胁情报(IOC)和恶意行为。
关于山石网科情报中心
山石云瞻威胁情报中心:
https://sandbox.hillstonenet.com.cn/
原文始发于微信公众号(山石网科安全技术研究院):蔓灵花(BITTER)近期活跃样本分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论