如何实现APT32样本分析

一、基本信息

样本MD5 bb3306543ff********9372bb3c72712
样本文件大小 3.29 MB (3,449,856 字节)
样本类型 后门程序
样本描述 利用Office恶意宏加载木马模块
分析时间 2019年12月

二、分析

2.1简介

该恶意文档,共被植入了三段恶意宏代码,宏的主要功能为在内存中加载执行该恶意文档中以十六进制流方式储存的Shellcode代码。

ShellCode部分的功能是从自身中提取出一个DLL木马程序{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll,接着执行此Dll的导出函数DllEntry,在内存中释放两个2个网络通信相关的DLL文件,网络通信相关文件用于支持HTTP、HTTPS和UDP协议通信,最终与C2端建立通信连接来接受控制指令。

注:{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll名称与以前分析的某个APT32样本DLL名称一致、且Shellcode代码混淆方式类似、内存加载方式类似,并且提取IOC也都属于APT32组织,因此判断此样本与APT32相关。

2.2诱骗执行

本次攻击时使用恶意宏代码的方式来加载恶意模块,并通过社会工程学的方式伪装成360的提示信息来博取用户的信任,从而诱骗用户启用恶意宏代码。

如何实现APT32样本分析

2.3恶意宏分析

该恶意文档中共被植入了三段恶意宏代码,名列前茅段代码保存在office默认位置,第二、第三段恶意宏代码以十六进制流的方式保存在文档首部。

如何实现APT32样本分析

名列前茅段宏代码(最开始执行的宏代码),从文档首部读取十六进制流保存的第二段宏代码,动态加载并调用入口函数x_N0th2ngH3r3()。

如何实现APT32样本分析

第二段宏代码,从文档首部读取十六进制流保存的第三段宏代码,动态加载并调用入口函数x_N0th2ngH3r3 ()。

如何实现APT32样本分析

第三段宏代码,通过给WINWORD进程创建远程线程的方式在内存中加载该恶意文档中以十六进制流方式储存的Shellcode代码。

如何实现APT32样本分析

2.4shellcode恶意代码分析

ShellCode的核心功能是从自身中提取出一个DLL文件,并在内存中自加载此DLL,随后执行此dll的导出函数DllEntry。下图为修正后的PE头数据:

如何实现APT32样本分析

将Shellcode文件从内存中Dump出来后,使用LordPE可以看出文件的导出名为:{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll。如下图:

如何实现APT32样本分析

2.5分析{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll

解密出的DLL的资源中有一个加密的资源文件:

如何实现APT32样本分析

该DLL运行时,首先获取该资源文件,进行解密,解密后的资源文件中包含了木马配置信息和2个网络通信相关的DLL文件,网络通信相关文件用于支持HTTP、HTTPS和UDP协议通信。下图为解密后的资源文件信息:

如何实现APT32样本分析

资源的数据结构如下:

2.6通信分析

通过{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll文件资源中解密出的C2域名解析地址45.122.138.31建立通信连接,并使用HTTP协议中的POST方法向C2端发送上线通知,最终接受C2端的控制端指令来控制目标终端。

如何实现APT32样本分析

2.7后门功能分析

创建进程

如何实现APT32样本分析

创建目录、删除目录

如何实现APT32样本分析

如何实现APT32样本分析

文件搜索、读写、创建、删除文件等操作

如何实现APT32样本分析

如何实现APT32样本分析

如何实现APT32样本分析

注册表读写操作

如何实现APT32样本分析

如何实现APT32样本分析

2.8IOC

cloud.360cn.info

dns.chinanews.network

aliexpresscn.net

chinaport.org

三、趋势

APT32是越南的黑客组织,又称为海莲花(OceanLotus)组织,侧重于攻击与越南关系紧密的外企,主要攻击了网络安全、制造、媒体、银行、酒店、技术基础设施和咨询相关的公司,窃取的资料包括商业机密、机密谈话日志和进度计划。其攻击手法为向目标发送精心设计的网络钓鱼电子邮件,在邮件中包含诱惑性恶意附件的水坑式攻击来给目标植入后门或恶意软件从而达到目的。本次分析的恶意文档即为客户收到的钓鱼邮件中的附件。

通过对APT32组织的跟踪研究发现,该组织为了监控和跟踪分发邮件情况现已开始使用基于云端的邮件分析软件,并且逐步使用最新前沿技术来达成攻击目的。因此特殊行业从业者在打开邮件或来历不明敏感信息文档时需保持警惕和确认文档的合法信。

以上就是如何实现APT32样本分析的全部内容了,更多与如何实现APT32样本分析相关的内容可以搜索亿速云之前的文章或者浏览下面的文章进行学习哈!相信小编会给大家增添更多知识,希望大家能够支持一下亿速云!

文章标题:如何实现APT32样本分析,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/26338

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云认证作者
上一篇 2022年9月18日 下午10:20
下一篇 2022年9月18日 下午10:21

相关推荐

  • WebView File域同源策略绕过漏洞实例分析

    基本知识Android架构 Kernel内核层 漏洞危害极大,通用性强 驱动由于多而杂,也可能存在不少漏洞 Libaries系统运行库层 系统中间件形式提供的运行库 包括libc、WebKit、SQLite等等 AndroidRunTime Dalvik虚拟机和内核库 FrameWork应用框架层 …

    2022年9月21日
    78000
  • 电脑黑白打印机打印图片底色黑如何解决

    解决方法 方法一: 1、首先在“Photoshop”中打开想要打印的图片。 2、打开后,点击左上角“图像”,选择“自动色调” 3、软件会自动为你调整背景色,如果还是觉得黑,可以继续调节。 4、继续点击“图像”,打开“调整”下的“色阶”选项。 5、打开后,按住图示位置的滑块,向左滑动。(根据预览情况自…

    2022年9月24日
    1.3K00
  • windows安装不了qq游戏如何解决

    qq游戏安装不了解决方法: 方法一: 1、首先确认我们电脑里之前有没有安装过qq游戏。 2、如果之前安装过,需要先将之前的qq游戏给卸载。 3、如果没有安装过,可能是下载的安装包有问题。 4、我们可以去官网下载或者点击右边链接重新下载安装。 5、如果我们正在使用360等安全软件的话,尝试将这些软件都…

    2022年8月29日
    89800
  • APT框架TajMahal怎么用

    概述 ‘TajMahal’是卡巴斯基实验室在2018年秋季发现的一个以前未知且技术复杂的APT框架。这个完整的间谍框架由两个名为“东京”和“横滨”的包组成。它包括后门,加载器,协调器,C2通信器,录音机,键盘记录器,屏幕和网络摄像头抓取器,文档和加密密钥窃取程序,甚至是受害者…

    2022年9月21日
    45200
  • Word首页不同怎么设置

    首页不同设置方法: 1、首先打开word,加入你的页眉。 2、之后去双击这个里面的“页眉”。 3、然后去选择菜单栏中的“页眉和页脚选项”。 4、最后就可以在工具模块里面的勾选“首页不同”了。 关于“Word首页不同怎么设置”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识,可以关注…

    2022年8月31日
    1.5K00
  • JavaScript单线程和任务队列是什么

    本文章是对以往“JavaScript单线程和任务队列是什么”知识点的总结与梳理,不仅内容丰富、详细,而且知识点逻辑十分清晰。相信多数人读完本文后,会对“JavaScript单线程和任务队列是什么”的知识内容,有更为深入的理解和认识。 一、JavaScript为什么设计为单线程? JavaScript…

    2022年6月27日
    50200
  • windows steam错误代码105如何解决

    steam错误代码105解决方法: 1、首先打开steam设置,然后点击左侧的“网页浏览器”。 2、然后选择“删除网页浏览器缓存”,再点击“删除所有浏览器cookie”。 3、右击右下角网络,点击属性然后进入网络选项,双击“Internet协议版本4”。 4、随后可以进入dns修改界面,此时可以设置…

    2022年8月31日
    1.5K00
  • Mybatisplus中的like查询问题怎么解决

    本篇文章“Mybatisplus中的like查询问题怎么解决”主要为您从以下几个方面讲解:上代码、like的四种用法,希望对您有所启发。 Mybatis plus中like查询问题 又谈到了Mybatis plus了,真的很是痛心疾首,在做模糊查询的时候出现了一个问题,版本还是2.0.8,我觉得大问…

    2022年6月29日
    1.8K00
  • 如何使用css实现​文本渐变

    文本渐变 文本渐变效果很流行,使用 CSS3 能够很简单就实现: h3[data-text] { position: relative;}h3[data-text]::after { content: attr(data-text); z-index: 10; color: #e3e3e3; pos…

    2022年9月1日
    35600
  • Redis发布订阅实例分析

    Redis 发布订阅(pub/sub)是一种消息通信模式:发送者(pub)发送消息,订阅者(sub)接收消息。 Redis 客户端可以订阅任意数量的频道。 订阅/发布消息图: 名列前茅个对象:消息发送者。第二个对象:频道。第三个对象:消息订阅者。 下图展示了频道 channel1 , 以及订阅这个频…

    2022年9月26日
    86900
注册PingCode 在线客服
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部