1 概述

9月初，威胁分析高级专家Alexey Vishnyakov在twitter上发布使用Nim语言编写的疑似APT28的键盘记录器类样本。白泽安全实验室获取Alexey Vishnyakov提供的样本进行分析，经分析，该类样本使用Nim语言编写，这似乎符合APT28近期恶意代码开发风格，而且该类键盘记录器样本似乎正在开发中，并没有嵌入C&C，这和Alexey Vishnyakov在twitter上阐述的信息基本一致。
以下是白泽安全实验室对疑似APT28的键盘记录器类样本进行的详细分析。

2 样本分析

Alexey Vishnyakov公布6个样本哈希，均是Nim语言编写键盘记录器且代码相似度非常高，因此只对其中一个样本进行分析，以下是样本详细分析。

将自身复制到%AppData%/Roaming/，复制后的名字为explorer.exe；其他样本自身复制后名称均不同。

打开“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”将上文创建的explorer.exe写入，名称为Windows Explorer，将explorer.exe设置为开机启动。

在新的线程里进行键盘记录，对WH_KEYBOARD_LL进行Hook。

获取到消息后，由keyboardHandler函数进行处理，进行键盘记录与写入，猜测再调用sendimpl函数将键盘记录发送到C2，但是这批样本似乎正处于开发中，并未嵌入C2。

3 参考链接

[1].https://twitter.com/Vishnyak0v/status/1300704689865060353

4 白泽安全实验室

原文地址：https://mp.weixin.qq.com/s/Cgbqoo0NelZX6ZebiNZQDw

专注APT发现、检测、取证、溯源相关网络安全技术研究。发布APT相关威胁情报、分享最新研究成果。

相关推荐: HFish初版审计学习

在之前学习golang的靶场之后，下来开始尝试一些真实环境的代码审计工作，于是我找到了HFsih并下载了最初的版本。 到这里可能有师傅问了：为什么不直接梭哈最新版本？当然是因为最初版本比较简单并且适合新人（~~并不是担心高版本找不到问题会很尴尬~~），哈哈 话…