如何实现APT32样本分析

一、基本信息

样本MD5 bb3306543ff********9372bb3c72712
样本文件大小 3.29 MB (3,449,856 字节)
样本类型 后门程序
样本描述 利用Office恶意宏加载木马模块
分析时间 2019年12月

二、分析

2.1简介

该恶意文档,共被植入了三段恶意宏代码,宏的主要功能为在内存中加载执行该恶意文档中以十六进制流方式储存的Shellcode代码。

ShellCode部分的功能是从自身中提取出一个DLL木马程序{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll,接着执行此Dll的导出函数DllEntry,在内存中释放两个2个网络通信相关的DLL文件,网络通信相关文件用于支持HTTP、HTTPS和UDP协议通信,最终与C2端建立通信连接来接受控制指令。

注:{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll名称与以前分析的某个APT32样本DLL名称一致、且Shellcode代码混淆方式类似、内存加载方式类似,并且提取IOC也都属于APT32组织,因此判断此样本与APT32相关。

2.2诱骗执行

本次攻击时使用恶意宏代码的方式来加载恶意模块,并通过社会工程学的方式伪装成360的提示信息来博取用户的信任,从而诱骗用户启用恶意宏代码。

如何实现APT32样本分析

2.3恶意宏分析

该恶意文档中共被植入了三段恶意宏代码,名列前茅段代码保存在office默认位置,第二、第三段恶意宏代码以十六进制流的方式保存在文档首部。

如何实现APT32样本分析

名列前茅段宏代码(最开始执行的宏代码),从文档首部读取十六进制流保存的第二段宏代码,动态加载并调用入口函数x_N0th2ngH3r3()。

如何实现APT32样本分析

第二段宏代码,从文档首部读取十六进制流保存的第三段宏代码,动态加载并调用入口函数x_N0th2ngH3r3 ()。

如何实现APT32样本分析

第三段宏代码,通过给WINWORD进程创建远程线程的方式在内存中加载该恶意文档中以十六进制流方式储存的Shellcode代码。

如何实现APT32样本分析

2.4shellcode恶意代码分析

ShellCode的核心功能是从自身中提取出一个DLL文件,并在内存中自加载此DLL,随后执行此dll的导出函数DllEntry。下图为修正后的PE头数据:

如何实现APT32样本分析

将Shellcode文件从内存中Dump出来后,使用LordPE可以看出文件的导出名为:{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll。如下图:

如何实现APT32样本分析

2.5分析{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll

解密出的DLL的资源中有一个加密的资源文件:

如何实现APT32样本分析

该DLL运行时,首先获取该资源文件,进行解密,解密后的资源文件中包含了木马配置信息和2个网络通信相关的DLL文件,网络通信相关文件用于支持HTTP、HTTPS和UDP协议通信。下图为解密后的资源文件信息:

如何实现APT32样本分析

资源的数据结构如下:

2.6通信分析

通过{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll文件资源中解密出的C2域名解析地址45.122.138.31建立通信连接,并使用HTTP协议中的POST方法向C2端发送上线通知,最终接受C2端的控制端指令来控制目标终端。

如何实现APT32样本分析

2.7后门功能分析

创建进程

如何实现APT32样本分析

创建目录、删除目录

如何实现APT32样本分析

如何实现APT32样本分析

文件搜索、读写、创建、删除文件等操作

如何实现APT32样本分析

如何实现APT32样本分析

如何实现APT32样本分析

注册表读写操作

如何实现APT32样本分析

如何实现APT32样本分析

2.8IOC

cloud.360cn.info

dns.chinanews.network

aliexpresscn.net

chinaport.org

三、趋势

APT32是越南的黑客组织,又称为海莲花(OceanLotus)组织,侧重于攻击与越南关系紧密的外企,主要攻击了网络安全、制造、媒体、银行、酒店、技术基础设施和咨询相关的公司,窃取的资料包括商业机密、机密谈话日志和进度计划。其攻击手法为向目标发送精心设计的网络钓鱼电子邮件,在邮件中包含诱惑性恶意附件的水坑式攻击来给目标植入后门或恶意软件从而达到目的。本次分析的恶意文档即为客户收到的钓鱼邮件中的附件。

通过对APT32组织的跟踪研究发现,该组织为了监控和跟踪分发邮件情况现已开始使用基于云端的邮件分析软件,并且逐步使用最新前沿技术来达成攻击目的。因此特殊行业从业者在打开邮件或来历不明敏感信息文档时需保持警惕和确认文档的合法信。

以上就是如何实现APT32样本分析的全部内容了,更多与如何实现APT32样本分析相关的内容可以搜索亿速云之前的文章或者浏览下面的文章进行学习哈!相信小编会给大家增添更多知识,希望大家能够支持一下亿速云!

文章标题:如何实现APT32样本分析,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/26338

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云认证作者
上一篇 2022年9月18日 下午10:20
下一篇 2022年9月18日 下午10:21

相关推荐

  • 如何做好项目管理

    做好项目管理有两个必须具备的核心技能:1、SMART原则;2、PDCA循环;除此以外,在项目进行的过程中我们还有:明确且达成共识的项目目标、有效的规划控制、制定项目标准及流程、合理的资源管理、建立完善的交流管理体系、利用有效的管理手段、激励等8个必须注意的点。 一、做好项目管理必须具备的两大核心技能…

    2022年3月19日
    45100
  • mysql的timestamp存在的时区问题怎么解决

    简介 众所周知,mysql中有两个时间类型,timestamp与datetime,但当在网上搜索timestamp与datetime区别时,会发现网上有不少与时区有关的完全相反的结论,主要两种: timestamp没有时区问题,而datetime有时区问题,原因是timestamp是以UTC格式存储…

    2022年9月6日
    1.7K00
  • 电脑键盘不能打字变成快捷键了怎么解决

    电脑键盘不能打字变成快捷键解决方法 名列前茅种方法 最简单的就是重启一下电脑,方便快捷的解决问题。 第二种方法 1,一般情况下是电脑键盘上的“windows“键出问题了,应该是压下后未弹起,可以先检查一下。 “windows“键就是ctrl和alt键之间的 2,WIN键(也就是那个开机四个方块图样的…

    2022年9月6日
    5.9K00
  • Mysql中锁的使用场景是什么

    Mysql中锁的使用场景主要有:常见锁类型、Mysql引擎介绍、常用引擎间的区别、共享锁与排他锁、排他锁的实际应用、共享锁的实际应用、死锁的发生、另一种发生死锁的情景、死锁的解决方式、意向锁和计划锁、乐观锁和悲观锁。 一、常见锁类型 表级锁,锁定整张表 页级锁,锁定一页 行级锁,锁定一行 共享锁,也…

    2022年6月29日
    65000
  • LDAP注入该如何理解

    1、LDAP 注入 LDAP (Light Directory Access Portocol) 是基于X.500标准的轻量级目录访问协议,提供访问目录数据库方法的服务和协议,常用于与目录数据库组成目录服务。其中目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它呈树状结构组织数据,类似于Lin…

    2022年9月20日
    1.4K00
  • Vue3项目中如何引入SVG图标

    SVG 图标 既然是页面,肯定离不开一些图标 icon ,所以肯定要去较全的 阿里图标库 来寻找 这里讲解下如何将 阿里图标库 里面的东西,放到我们的页面上 阿里图标库 进入页面,找到 资源管理 下面的 我的项目,并创建项目 设置如下 创建好项目后,我们进入到 阿里的 素材库 里面找一些后续需要的图…

    2022年8月31日
    1.1K00
  • JavaScript支持的注释字符有哪些

    支持两种注释字符:1、单行注释符号“//”,只对所在行有效,可以位于代码段的不同位置,语法“//需要注释的内容”,“//”之后的所有内容都会看作是注释的内容。2、多行注释符号“/**/”,出现在“/*”和“*/”之间的所有内容都会看作是注释的内容,语法“/* 需要注释的内容 */”。 本教程操作环境…

    2022年9月24日
    46500
  • edxposed框架+trustmealredy模块如何实现抓包小程序

    一、下载edxposed框架,由于安卓5.0版本以下的不支持老版本的框架,所以到如下链接下载 https://forum.xda-developers.com/showthread.php?t=3034811 直接点击下载 二、下载trustmealredy https://repo.xposed.…

    2022年9月8日
    1.2K00
  • windows浩辰cad看图王怎么使用

    浩辰cad看图王使用方法: 1、首先我们下载安装这款软件 2、下载安装完成后,双击软件图标来打开它。 3、点击左上角的软件图标,选择“打开” 4、然后在其中找到并选中想要打开的图纸,点击“打开” 5、这样我们就可以在其中查看或编辑图纸了。 6、软件拥有编辑模式和览图模式两种,用户可以根据自己的需求来…

    2022年9月20日
    71700
  • 关于sqlmap的问题怎么分析

    0x00 概述 近日在利用sqlmap注入测试时遇到一个奇怪的现象,高版本sqlmap无法检测出注入,但是低版本的可以测出注入,并且能跑出数据不是误报,经过对比测试和查看sqlmap源码,发现两个小坑。 0x01 情景重现 注入点形式:json……”whereparams”:[{“name”:”ke…

    2022年9月21日
    66100
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部