查看原文
其他

未知黑客团队钓鱼样本分析

binlmmhc 看雪学院 2021-03-07

本文为看雪论坛优秀文章

看雪论坛作者ID:binlmmhc



背景:在某群里收到一群友的反馈,说其客户收到一封奇怪的邮件,邮件附件内容如下。




0x01 附件分析



可以看到该伪装的文档快捷方式调用ftp.exe进行执行命令。



cc.dat文件内容如下:



其开头执行powershell.exe mshta.exe ccc.dat用于执行接下来的恶意命令
然后其从ccc.dat中释放出一个正常的drc.docx文档到C:\ProgramData\drc.docx并且打开。



该docx内容如下,打开此文件的目的是为了迷惑用户,让用户不会产生警惕心理。



然后执行powershell命令:





下载的第二段powershell脚本内容如下(这里我改了一下路径),同样是从图片中提取出被AES加密的WPSUpdate.exe白文件和krpt.dll黑文件:




本次使用了白(WPSUpdate.exe)加黑(krpt.dll)的手段绕过杀软。




0x02 DLL分析



首先会上传窃取信息通过base64加密传送(由于C2已经失效,修改文件上传到本地局域网观察行为)

基本网络信息:



进程列表:



软件卸载注册表信息:



上传的流量:



然后转到GetStartupW的hook函数,其会发送一条特殊的一机一shellcode的Get下载请求:



如果请求成功,响应结果为200,会提取响应结果,并且提取其中shellcode直接执行,但是目前C2已经挂了,所以后续也无能为力了(主要第一手拿到的时候没有时间,后面忘记了)。






0x03 简单总结



技术点:bypass amsi, 图片隐写,文件加密携带,传输流量编码,白(带证书)+黑,一机一shellcode(只有上线过的后面才会执行那个bmp的shellcode)

防范:不点击未经确认的陌生邮件中的链接以及附件。


备注:目前该样本涉及到的图片等这些已经全部撤销了 ,附件有,通用密码infected


IP&URLS:

https://s2.ax1x.com/2019/09/25/uZGIU0.png
https://s2.ax1x.com/2019/09/23/uiW30U.png
https://s2.ax1x.com/2019/09/25/uZ3RJS.png
http://103.129.222.138/bat/js/cors
http://103.129.222.138/ksord/photo/bmp/

Hash:
E2DD137ABA496E62618B7350C2A90AEB ccc.dat
597712E8C911F184DEC9E99B911AD81B krpt.dll
90ADAF2C6DDE39A4CFEA8A338019EA0B uiW30U.png
B5834C867A6EDC242735F9F1958BBBDA uZ3RJS.png
8BF73E72B9E87A2080518A911B801BF2 uZGIU0.png
7C659650BE363276C084E11ADA7A9630 “不忘初心、牢记使命”党的知识竞赛活动方案.docx.lnk




- End -






看雪ID:binlmmhc

https://bbs.pediy.com/user-748017.htm 

*本文由看雪论坛  binlmmhc  原创,转载请注明来自看雪社区





推荐文章++++

Android某社区加密参数分析

CVE-2018-0802栈溢出漏洞个人分析

Linux kernel中常见的宏整理

PE头分析详解和VC++代码实现

虚幻4(ue4)引擎加密pak解包教程(初学者向x64源码逆向)


进阶安全圈,不得不读的一本书






公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com



“阅读原文”一起来充电吧!

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存