安全分析与研究
专注于全球恶意软件的分析与研究
前言概述
APT是全球企业面临的最大的安全威胁之一,需要安全厂商密切关注,未来APT组织还会持续不断的发起网络攻击活动,同时也会持续更新自己的攻击武器,开发新的恶意软件变种,研究各种新的攻击技术,使用新的攻击手法,进行更复杂的攻击活动,这将会不断增加安全威胁分析和情报人员分析溯源与应急响应的难度,安全研究人员需要不断提升自己的安全分析能力,更好的应对未来各种威胁挑战,安全对抗会持续升级,这是一个长期的过程。
Konni APT组织是朝鲜半岛地区最具代表性的APT组织之一,自2014年以来一直持续活动,据悉其背后由朝鲜政府提供支持,该组织经常使用鱼叉式网络钓鱼的攻击手法,经常使用与朝鲜相关的内容或当前社会热点事件来进行攻击活动,该组织的主要目标为韩国政治组织,以及日本、越南、俄罗斯、中国等地区。
针对Konni APT组织攻击样本进行相关分析,样本相关信息,如下所示:
样本分析
1.初始样本为一个LNK文件,如下所示:
2.解析LNK文件,如下所示:
3.样本运行之后,如下所示:
4.在指定的目录下生成的恶意文件,如下所示:
通过上面的动态行为以及生成的恶意文件,我大概就能判断该攻击样本是Konni APT组织的攻击样本了,这里会有人说,不要装逼了,你咱判断的?我只能用下面的图片来回复一下。
此前我在跟踪分析全球勒索病毒家族的时候,针对一些主流的勒索病毒家族,我只需要看一下文件大小,就能大概判断是属于哪个勒索病毒家族的。
5.start.vbs恶意脚本内容,如下所示:
6.93152588.bat恶意脚本内容,如下所示:
7.32791673.bat恶意脚本内容,如下所示:
8.96001702.bat恶意脚本内容,如下所示:
9.45150722.bat恶意脚本内容,如下所示:
10.92754154.bat恶意脚本内容,如下所示:
11.从远程服务器下载CAB,解压缩之后,如下所示:
其他分析过程省略,对该样本感兴趣的可以自行研究。
总结结尾
黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,黑客组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,非常活跃,新的恶意软件层出不穷,旧的恶意软件又不断更新,需要时刻警惕,可能一不小心就被安装了某个恶意软件。
对恶意软件分析与研究感兴趣的,但没有基础的读者,可以学习笔者的《恶意软件分析基础课程》,可以零基础入门恶意软件分析。
安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究
原文始发于微信公众号(安全分析与研究):Konni APT组织攻击样本分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论