DarkHydrus技术手段分析

admin 2024年2月24日01:55:07评论14 views字数 2300阅读7分40秒阅读模式

DarkHyDrus有“黑暗之蛇”的别称,疑似来自于亚洲网络间谍组织,至少从2016年起就开始针对中东的政府机构和教育机构,该组织大力利用开源工具和定制有效负载进行攻击。

组件分析

DarkHydrus技术手段分析

Powershell

执行xx.iqy格式文件,下载releasenotes.txt

DarkHydrus技术手段分析

执行cmd调用Powershell下载winupdate.ps1,如下所示:

DarkHydrus技术手段分析

Powershell是经过压缩后的base64,如下所示:

DarkHydrus技术手段分析

解密后powershell如下所示:

DarkHydrus技术手段分析

反虚拟机,WMI 接口查询BIOS/VBOX/Vm等

DarkHydrus技术手段分析

检测物理内存以及Wireshark/Sysinternals进程

DarkHydrus技术手段分析

释放.bat和ps1,利用.bat执行OneDriver.ps1,如下所示:

DarkHydrus技术手段分析

OneDriver.ps1相对于本体只是减去了启动执行代码,创建OneDriver快捷方式,持久化。

DarkHydrus技术手段分析

  初始化网络配置,使用了自定义的DNS隧道,有效域名使用卡巴,微软等字符串,C2连接成功后,采集系统信息base64编码,通过DNS隧道发送服务器。

DarkHydrus技术手段分析

DarkHydrus技术手段分析

anyconnect[.]stream
bigip[.]stream
fortiweb[.]download
kaspersky[.]science
microtik[.]stream
owa365[.]bid
symanteclive[.]download
windowsdefender[.]win

功能模块梳理

DarkHydrus技术手段分析

指令 功能
$fileDownload 上传指定内容
$importModule 将指定的PowerShell模块添加到当前脚本
$screenshot 代码中iex $command,不能确定为截屏
$command 运行powershell
$slp:d+ 睡眠
$testmode DNS解析模块
$showconfig 载荷当前配置上传
$slpx:d+ DNS请求时长设置
$fileUpload 下载payload写入本地

  通过.lqy载荷投递,触发web远程下载,Powershell进行主机感染,自定义DNS隧道C2命令控制,完成目标主机入侵。

Exe

函数并不从入口点执行,main函数之前执行shellcode,如下所示:

DarkHydrus技术手段分析

Tmep下创建文件,WinExec执行

DarkHydrus技术手段分析

释放Aspack加壳程序

DarkHydrus技术手段分析

是否需要提权,根据系统版保存结构体偏移。

DarkHydrus技术手段分析

DarkHydrus技术手段分析

注册表设置

DarkHydrus技术手段分析

内存数据解密

DarkHydrus技术手段分析

为每一个非光驱,已知磁盘设备创建单独的线程,用于递归遍历感染。

DarkHydrus技术手段分析

分发的线程两个感染动作,分别针对exe和rar

DarkHydrus技术手段分析

  Winrar.exe被重定向至temp目录下,重命名为{随机数}.exe,进行压缩包感染,解压后感染exe,重新打包,利用CreateProcess执行WinRar指令。

DarkHydrus技术手段分析

WinRar命令
%s X -ibck "%s" "%s\
"%s M %s -r -o+ -ep1 "%s" "%s\*"

exe感染,第一次写入shllcode,大小625字节,用于Api动态寻址,第二次写入样本本体,大小0x3A00,如下所示:

DarkHydrus技术手段分析

创建线程用于请求网络和文件下载,如下所示:

DarkHydrus技术手段分析

DarkHydrus技术手段分析

http://ddos.dnsnb8.net:799/cj//k1.rar

下载k1.rar到本地{随机数}.exe,FileMap将文件映射到内存,解密数据,WinExec执行文件。

DarkHydrus技术手段分析

Bat删除文件收尾工作

DarkHydrus技术手段分析

DarkHydrus技术手段分析

  Exe组件属于杀伤链第五个环节安装植入,蠕虫传播类型下载器,对于单纯下载器来说更具有危害,造成大量文件被恶意感染。

.Net

Net组件和Powershell功能一样,自定义DNS隧道代理进行C2通信。

DarkHydrus技术手段分析

DNS隧道

刷新DNS解析缓存,主机从本地域查找dns缓存,如果查询不到,请根域等待最终解析结果。

DarkHydrus技术手段分析

构造Windows nslookup解析指令,如下所示:

DarkHydrus技术手段分析

DarkHydrus技术手段分析

参数-q=TXT请求域名文本信息,域名格式{固定字符}.List.

DarkHydrus技术手段分析

固定格式,676f6f646c75636b.gogle.co

DarkHydrus技术手段分析

DarkHydrus技术手段分析

DarkHydrus技术手段分析

解析请求返回状态,成功失败

DarkHydrus技术手段分析

通过正则来匹配返回域纪录,DNS回包C2指令和数据,TXT请求会包含很多信息,如下所示

DarkHydrus技术手段分析

Address:\s+(\d+.\d+.\d+.\d+)
Address:\s+(([a-fA-F0-9]{0,4}:{1,2}){1,8})
Address:\s+(([a-fA-F0-9]{0,4}:{1,4}[\w|:]+){1,8})

循环遍历List可用域名,Wmi获取本地域,主机名,给予管理员权限获取域列表。

DarkHydrus技术手段分析

DNS包解析和构建,如下所示:

DarkHydrus技术手段分析

DarkHydrus技术手段分析

DarkHydrus技术手段分析

magic函数使用正则解析DNS查询类型MZ/TXT等回包,如下所示:

DarkHydrus技术手段分析

客户端解析DNS回应包C2指令和数据,保存command命令执行C2功能。

DarkHydrus技术手段分析

总结

  通过样本分析未发现加密传输,明文进行传输,DNS隧道流量检测根据上文分析细节取关键字符如List列表和C2检测,请求频率(睡眠)都可以流量检测。
2017年思科Talos团队发现一起名为DNSMessenger的攻击,该恶意软件的所有命令与控制通信都经过DNS TXT类型查询和响应,上述攻击手法类似,通过TXT查询和响应,通过回包来穿透内网。

IOC

0c6cbf288d94a85d0fb9e727db492300
6267BBC7BEC7BEB134A92F6F9E523B4F
bd764192e951b5afd56870d2084bccfd
953a753dd4944c9a2b9876b090bf7c00
B3432432B49EFCC4B5AB1C00C84827AC
A164A2341F4F54DBD0FA881E5C067C1A

来源:【https://xz.aliyun.com/】,感谢【一半人生

原文始发于微信公众号(船山信安):DarkHydrus技术手段分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月24日01:55:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   DarkHydrus技术手段分析https://cn-sec.com/archives/2521672.html

发表评论

匿名网友 填写信息