这是 (Primitive Bear) APT 组织针对乌克兰国家移民局发起的攻击模拟，攻击活动从 2021 年 12 月 1 日持续到 2021 年 6 月，攻击链从通过电子邮件发送给受害者的 Word 文档开始，然后使用 VBS 有效载荷获取命令和控制，在放置有效载荷或将其注入 Word 文件之前，对有效载荷进行混淆以逃避检测，然后通过宏将其注入 Word 文档，然后我创建一个 SFX 存档并将有效载荷 Word 文件放入其中以获取命令和控制，并使用此 SFX 存档执行鱼叉式网络钓鱼攻击，然后我通过打开 Word 文件获取命令和控制。我依靠 Palo Alto 网络来找出进行此模拟的细节：https://unit42.paloaltonetworks.com/gamaredon-primitive-bear-ukraine-update-2021/

此次攻击包括几个阶段，包括创建一个包含 Word 文件的 SFX 文件。此 Word 文件包含负责命令和控制的 VBS 脚本，并在将其放入通过鱼叉式网络钓鱼攻击发送的 Word 文件中之前对 VBS 脚本有效负载进行混淆，并利用 DES 加密在攻击者服务器和目标之间进行安全数据传输，从而进行远程通信。

1.创建Word文档：编写一个Word文档（.doc或.docx），其中包含带有混淆的VBS有效负载的宏。宏应设计为在打开文档时执行有效负载。

2. 创建一个 VBScript 有效负载，旨在与命令和控制 (C2) 服务器建立反向连接。

3.混淆VBS负载：混淆VBS负载，使其更难被防病毒软件或安全解决方案检测到。

4.使用 WinRAR 创建自解压存档：使用 WinRAR 创建自解压 (SFX) 存档。将包含宏和混淆的 VBS 有效负载的 Word 文档添加到存档中。

5.将混淆的 VBS 有效负载和 word 文件放入 SFX 档案中以发送给目标。

6.最终结果利用DES加密在攻击者服务器和目标之间进行安全数据传输，实现远程通信。

第一阶段（分娩技术）

我首先在 Word 文档中起草了即将发起的攻击的网络钓鱼电子邮件。随后，在制作有效载荷（由注入宏的 VBS 脚本组成）之前，我将它们封装在 SFX 文件中。此次攻击的目标是乌克兰移民局，网络钓鱼信件声称提供总额为 20 亿美元的经济援助。

此 word 文件将用于在经过混淆之后将 VBS 脚本有效负载放入其中，这将有助于使将此 VBS 脚本放入 word 文件中的宏中时检测更加困难。

第二阶段（VBScript 负载）

首先，我将创建一个 VBS 有效负载，这是一个简单的 VBS 脚本，旨在建立与 C2 服务器的反向连接，然后打开一个 Word 文件，启用宏并将有效负载插入宏中，最后我将保存该文档。

第三阶段（混淆VBS有效载荷）

但是在我将 VBS 有效负载放入宏之前，我将对脚本进行混淆，以使其难以检测，我使用在线 VBScript 混淆器进行混淆：https://isvbscriptdead.com/vbs-obfuscator/

第四阶段（植入技术）

现在，我将通过打开“查看”菜单单击“Micros”，然后创建一个新的宏文件，将混淆的 VBS 有效负载放入 Microsoft Word 文件中。

保存Word文件，并在宏中嵌入混淆的VBScript有效负载，这样我就可以在打开Word文件时执行有效负载文件。

第五阶段（制作 SFX 档案）

现在我将使用 WinRAR 创建 SFX 存档，并通过宏获取包含带有混淆的 VBS 负载的 Word 文档的 SFX 文件，然后将其发送到鱼叉式网络钓鱼。

1.打开 WinRAR 并选择要包含在存档中的文件。

2. 转到“添加”菜单并选择“添加到档案...”

3.在“存档名称和参数”窗口中，选择“SFX”作为存档格式。

4.根据需要配置SFX选项，包括提取路径和执行参数。

最终结果（有效载荷连接到 C2 服务器）

该 Perl C2 服务器脚本利用 DES 加密在攻击者服务器和目标之间进行安全数据传输，从而实现远程通信。

get_attacker_info 和 get_port：提示输入 IP 地址和端口号。

get_des_key：提示输入 8 字节的 DES 密钥。

encrypt_data：使用带填充的 DES 加密命令结果。

main：设置 TCP 服务器，接受连接，执行命令，加密结果并将其发送给客户端。

原文始发于微信公众号（安全狗的自我修养）：Primitive Bear APT 攻击模拟