未知黑客团队钓鱼样本分析

查看原文

其他

未知黑客团队钓鱼样本分析

binlmmhc 看雪学院 2021-03-07

本文为看雪论坛优秀文章

看雪论坛作者ID：binlmmhc

背景：在某群里收到一群友的反馈，说其客户收到一封奇怪的邮件，邮件附件内容如下。

0x01 附件分析

可以看到该伪装的文档快捷方式调用ftp.exe进行执行命令。

cc.dat文件内容如下：

其开头执行powershell.exe mshta.exe ccc.dat用于执行接下来的恶意命令

然后其从ccc.dat中释放出一个正常的drc.docx文档到C:\ProgramData\drc.docx并且打开。

该docx内容如下，打开此文件的目的是为了迷惑用户，让用户不会产生警惕心理。

然后执行powershell命令：

下载的第二段powershell脚本内容如下(这里我改了一下路径)，同样是从图片中提取出被AES加密的WPSUpdate.exe白文件和krpt.dll黑文件：

本次使用了白(WPSUpdate.exe)加黑(krpt.dll)的手段绕过杀软。

0x02 DLL分析

首先会上传窃取信息通过base64加密传送(由于C2已经失效，修改文件上传到本地局域网观察行为)

基本网络信息：

进程列表：

软件卸载注册表信息：

上传的流量：

然后转到GetStartupW的hook函数，其会发送一条特殊的一机一shellcode的Get下载请求：

如果请求成功，响应结果为200，会提取响应结果，并且提取其中shellcode直接执行，但是目前C2已经挂了，所以后续也无能为力了(主要第一手拿到的时候没有时间，后面忘记了)。

0x03 简单总结

技术点：bypass amsi, 图片隐写，文件加密携带，传输流量编码，白(带证书)+黑，一机一shellcode(只有上线过的后面才会执行那个bmp的shellcode)

防范：不点击未经确认的陌生邮件中的链接以及附件。

备注：目前该样本涉及到的图片等这些已经全部撤销了，附件有，通用密码infected

IP&URLS：

https://s2.ax1x.com/2019/09/25/uZGIU0.png

https://s2.ax1x.com/2019/09/23/uiW30U.png

https://s2.ax1x.com/2019/09/25/uZ3RJS.png

http://103.129.222.138/bat/js/cors

http://103.129.222.138/ksord/photo/bmp/

Hash：

E2DD137ABA496E62618B7350C2A90AEB ccc.dat

597712E8C911F184DEC9E99B911AD81B krpt.dll

90ADAF2C6DDE39A4CFEA8A338019EA0B uiW30U.png

B5834C867A6EDC242735F9F1958BBBDA uZ3RJS.png

8BF73E72B9E87A2080518A911B801BF2 uZGIU0.png

7C659650BE363276C084E11ADA7A9630 “不忘初心、牢记使命”党的知识竞赛活动方案.docx.lnk

- End -

看雪ID：binlmmhc

https://bbs.pediy.com/user-748017.htm

*本文由看雪论坛 binlmmhc 原创，转载请注明来自看雪社区

陈佩斯，这次真悬了！

不能返税、不能补贴，招商局长们怎么办？

大，无需多言，事实胜于雄辩

2024年最佳公众号排行，不用瞎忙，关注它们你就成功了一半

英美所谓联合声明无端指责中国，干涉中国内政，中方强烈不满、坚决反对！