1.攻击流程分析

2.载荷投递分析

一旦打开运行该文件，便会借助系统进程dfsvc.exe下载并运行该文件配置信息中指定的文件。

具体内容如下：

当运行 ClickOnce 部署清单文件(.application),操作系统会读取codebase配置来获取安装所需要的资源，该资源文件themes40app40.manifest位于.application文件下载链接的相对路径下。获取到该文件后，会根据app40.manifest提供的信息下载下一阶段的恶意载荷，并指定入口执行文件。app40.manifest的基本信息如下：

如下图所示，根据app40.manifest所提供的配置信息，会从远端下载BrowserMgr.exe，opera_elf.dll等多个后续的攻击组件，以及clickonce.exe，clickonce.dll等依赖项。入口文件为clickonce.exe，这意味着该文件在部署时最先被执行。

3.恶意载荷分析

ClickOnce.exe是整个攻击组件中最先被执行的文件，具体信息如下。

ClickOnce.exe首先会内存加载ClickOnce.dll并执行“Say”函数。

然后将下一阶段的攻击组件复制到“%PROGRAMDATA%Windowsen-US”目录下，并执行“BrowserMgr.exe”。

ClickOnce.dll是被ClickOnce.exe加载的文件，其主要功能是上传主机信息以及打开伪装内容。ClickOnce.dll文件信息如下：

ClickOnce.dll首先会读取同级目录下的“res.jpg”，并利用XOR解密出配置信息。

第二层攻击组件是一个白利用组件，白文件名为BrowserMgr.exe，具有“Opera Norway AS”签名信息，恶意载荷名为opera_elf.dll，恶意载荷信息如下：

BrowserMgr.exe运行之后，会加载同级目录下的opera_elf.dll文件，并执行IsBrowserProcess导出函数。该函数的主要功能是读取同级目录下的logo.png文件，解密并内存装载PE可执行文件，最终执行GetNextString导出函数。

opera_elf.dll恶意载荷通过内存装载执行最终的远控木马（md5:2fcdcf63ed3e4bfb94ae9c6b28feb744），该远控木马通过Golang编译，执行入口点为“GetNextString”函数。

检测apple.com的连通性之后，将获取的主机信息编码之后，以POST方式发送到“http[:]//**.webredirect.org/news”。

联通C2服务器之后，根据返回的命令内容执行不同的功能。远控命令号和功能如下，和之前披露的远控功能一致，本文不做赘述。

 二、归属研判 

通过对本次攻击事件进行深入分析，我们认为本次攻击符合旺刺组织所使用的技战术特征，具体如下：

1）本次攻击事件中，攻击者通过ClickOnce技术进行载荷投递，符合旺刺组织使用的载荷投递方式。

2）本次攻击事件中，攻击者将配置信息，或者最终载荷附加在正常的“png”或者“jpg”文件中，然后使用XOR解密之后进行使用,并且对图片有效载荷的异或解密密钥(9D88B3FA)与之前相同，这和我们之前披露的旺刺组织处理后续载荷的手法一致^[1]。

3）本次攻击中所使用的最终载荷和之前披露的Golang后门基本一致，所使用的命令，功能和之前披露的旺刺组织所使用后门一致。

702372ef2fe4e7be7808a184135ea13a

381708a81f4e1828f70e3d3acb16042a

7d1ff2bcf5a0614d84f564c8fdc99a32

cf09c3139f9458dce5df0bb54642a45d

f9e1ff186125842f026e63f6e11cc34e

2fcdcf63ed3e4bfb94ae9c6b28feb744

C2

js6.webmail.**.**.**-plugin.com

**.webredirect.org

support**.**-safeserver.com    **-portal.com

[1]https://mp.weixin.qq.com/s/h_MUJfa3QGM9SqT_kzcdHQ

原文始发于微信公众号（360威胁情报中心）：揭秘APT-C-47（旺刺）组织利用ClickOnce技术部署的恶意组件