怎么实现APT28样本分析

1 背景

奇幻熊组织又被人们称为APT28,他是俄罗斯的间谍组织,2019年,奇幻熊组织的活动异常频繁。从今年年初的智囊团入侵事件,到随后的大小攻击,都有APT28的身影。奇幻熊的历史已经非常悠久,2016年,该组织因为入侵美国民主党全国委员会的电子邮件,试图影响美国总统大选而闻名于世。鱼叉式网络钓鱼、0Day攻击是该组织惯用的攻击方法,并且他们使用的工具非常迅速的更新。在2015年一年中,使用了不少于6种不同的0Day漏洞,这是一个相当大的工程,需要大量安全人员在常用的软件中寻找大量的未知漏洞。

本次样本分析的样本来自于我单位捕获到的样本数据,经过分析为Zepakab下载器。在此做一个简单的分析,以窥探Zepakab的技术秘密。

2 样本分析

首先,我们对样本稍作分析就可以知道,该样本使用了UPX加了一层壳,不过并没有做更多的处理。使用UPX即可以正常将其解压,生成正常的样本。

怎么实现APT28样本分析

在解压后的样本中,我们可以从资源RCData/SCRIPT中看到”AU3!”的字样,并且在其代码中可以看到一系列的证据,都可以表明,该样本是由AutoIt编译而来。AutoIt是使用类似BASIC的语言,主要用于设计和Windows图形界面自动化交互的程序。使用这样的语言来开发恶意程序,可以很容易的躲避杀毒软件的检测。

怎么实现APT28样本分析

怎么实现APT28样本分析

然后,我们将Zepakab中的AutoIt代码反编译,提取出其中的源码。可以看到,”main”函数是Zepakab的主要例程。Zepakab的主要功能是不断的在一个循环中获取系统信息,截取屏幕快照,发送给服务器。并且在需要的时候下载恶意样本驻留在系统中。

怎么实现APT28样本分析

系统信息的收集是在”info”函数内完成的,info调用了”_computergetoss”函数。”_computergetoss”使用了Windows管理规范(WMI)的AutoIt接口,使用了查询语句”SELECT * FROM Win32_OperatingSystem”来查询系统信息。

怎么实现APT28样本分析

怎么实现APT28样本分析

该恶意软件通过下面的scr函数将桌面屏幕快照保存到”%TEMP% tmp.jpg”中。

怎么实现APT28样本分析

在从服务器上下载了有效负载后,Zepakab会将它同过”crocodile”函数保存到”C: ProgramDataWindowsMicrosoftSettingssrhost.exe”中。

怎么实现APT28样本分析

除了上述的一些主要功能外,Zepakab还有一些比较只能化的功能。例如反虚拟机,它会查找一些当前比较重要的虚拟机文件、进程以及通过特别算法计算的标识,从而实现虚拟机逃逸。

怎么实现APT28样本分析

此外,”_sofware”函数通过注册表

“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall”

解析已安装的软件。同时通过systeminfo系统命令输出系统信息,并检索进程并将其纳入到系统信息中。

怎么实现APT28样本分析

这份代码,并没有使用复杂的混淆技术,所以可以轻松的看到Downloader的服务器地址是185.236.203.53,uri是”locale/protocol/volume.php”。Downloader使用HTTP方式和服务器通信,并且使用base64编码和加密的方式发送和接受数据。

怎么实现APT28样本分析

怎么实现APT28样本分析

3 总结

Zepakab在整个2019年是异常活跃的,虽然其开发方式非常简单,但是其危害程度并不低,而且APT28组织也异常快速地更新他们的武器。正因为简单的开发方式,其更新速度才得以更快。奇幻熊仍然更多地使用他们惯用的方法,鱼叉式攻击,0Day漏洞等等。在这种低成本的开发方式下,奇幻熊组织得以更有效地进行他们的网络攻击。

看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注亿速云行业资讯频道,感谢您对亿速云的支持。

文章标题:怎么实现APT28样本分析,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/26155

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云亿速云认证作者
上一篇 2022年9月16日
下一篇 2022年9月16日

相关推荐

  • 如何分析APP测试及流程

    目前工作中,测试App会涉及到一下几个方面:客户端、小程序、h6页面等,看似不同却又大相径庭。 点击添加图片描述(非常多60个字) 1、功能模块测试:功能模块测试其实最重要的是考察测试者的逻辑思维能力和对需求的理解能力以及一些页面交互性,输入输出的考虑等,所以以上三者是共通的,没有太大的区别。 2、…

    2022年9月2日
    18200
  • javascript数值型只有一种吗

    javascript数值型只有一种:浮点类型。JavaScript内部存储数字都是按64位浮点类型存储的,所以在JavaScript中实际上是没有整数类型的。按照JavaScript中的数字格式能够表示的整数范围为“[-2^53 ~ 2^53]”,包含边界值;但需要注意的是,数组索引、位操作符等使用…

    2022年9月24日
    20000
  • css如何使用​禁用鼠标事件

    禁用鼠标事件 CSS3 新增的 pointer-events 让你能够禁用元素的鼠标事件,例如,一个连接如果设置了下面的样式就无法点击了。 .disabled { pointer-events: none; } 关于“css如何使用禁用鼠标事件”这篇文章就分享到这里了,希望以上内容可以对大家有一定的…

    2022年9月1日
    24000
  • jquery动画队列怎么实现

    jquery动画队列是一个动画函数队列,把多个的动画任务放到一起,确保只有当前面的任务完成了,才会开始下一个任务;可以对jQuery元素应用fade、slide、animate等动画,当在JQuery对象上调用动画方法时,如果对象正在执行某个动画效果,那么会把后面的动画效果,放在一个队列里面,然后按…

    2022年9月10日
    20700
  • Mysql体系化之JOIN运算实例分析

    SQL中的JOIN SQL是如何理解JOIN运算 SQL对JOIN的定义 两个集合(表)做笛卡尔积后再按某种条件过滤,写出来的语法就是A JOIN B ON …。 理论上讲,笛卡尔积的结果集应该是以两个集合成员构成的二元组作为成员,不过由于SQL中的集合也就是表,其成员总是有字段的记录,而且也不支持…

    2022年9月6日
    31100
  • 数据库mdf文件能恢复吗

    数据库mdf文件可以恢复吗: 答:是可以恢复的。 方法一、 1、把mdf文件和ldf文件拷贝到数据库的默知认路径道C:Program FilesMicrosoft SQL ServerMSSQL10.MSSQLSERVERMSSQLDATA里。 2、在sqlserver里新建个查询,执行下面代码。 …

    2022年9月8日
    33700
  • win7对象不支持此属性或方法怎么解决

    解决win7对象不支持此属性或方法的步骤 1、打开浏览器,点击右上角工具选项,选择internet选项,如图所示 2、在internet选择中,点击安全选项,点击默认级别,如图所示 3、之后点击“默认级别”选项,点击右下角的“应用”选项,如图所示 4、切换到“高级”选项中将“禁用脚本调试(Inter…

    2022年9月24日
    17000
  • windows中剪贴板的含义是什么

    windows中剪贴板本质上是内存中的一块存储区域;剪贴板是windows系统一段可连续的、可随存放信息的大小而变化的内存空间,用来临时存放交换信息,内置在windows并且使用系统的内部资源RAM,或虚拟内存来临时保存剪切和复制的信息,可以存放的信息种类多种多样。 本教程操作环境:windows1…

    2022年9月15日
    24800
  • windows打印机出现0x000006b9如何解决

    解决方法: 方法一: 1、首先我们按下键盘“win+r”,然后输入“services.msc”回车确定打开服务列表。 2、然后在其中找到“windows firewall”服务,右键选中点击“启动” 3、开启之后,我们进入“控制面板” 4、接着在其中找到并进入“查看设备和打印机” 5、然后在其中找到…

    2022年9月15日
    19300
  • windows任务管理器被系统管理员停用怎么解决

    任务管理器被管理员停用的恢复方法 1、快捷键Win+R,输入gpedit.msc,回车。 2、依次展开“用户配置–>管理模板–>系统–>Ctrl+Alt+Del选项”,在右侧双击“删除任务管理器” 3、然后在“设置”选项卡中选择未配置或者已禁用选…

    2022年9月6日
    17900
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部