APT28样本实例分析

一、 背景

奇幻熊组织又被人们称为APT28,他是俄罗斯的间谍组织,2019年,奇幻熊组织的活动异常频繁。从今年年初的智囊团入侵事件,到随后的大小攻击,都有APT28的身影。奇幻熊的历史已经非常悠久,2016年,该组织因为入侵美国民主党全国委员会的电子邮件,试图影响美国总统大选而闻名于世。鱼叉式网络钓鱼、0Day攻击是该组织惯用的攻击方法,并且他们使用的工具非常迅速的更新。在2015年一年中,使用了不少于6种不同的0Day漏洞,这是一个相当大的工程,需要大量安全人员在常用的软件中寻找大量的未知漏洞。

本次样本分析的样本来自于我单位捕获到的样本数据,经过分析为Zepakab下载器。在此做一个简单的分析,以窥探Zepakab的技术秘密。

二、样本分析

首先,我们对样本稍作分析就可以知道,该样本使用了UPX加了一层壳,不过并没有做更多的处理。使用UPX即可以正常将其解压,生成正常的样本。

APT28样本实例分析

在解压后的样本中,我们可以从资源RCData/SCRIPT中看到”AU3!”的字样,并且在其代码中可以看到一系列的证据,都可以表明,该样本是由AutoIt编译而来。AutoIt是使用类似BASIC的语言,主要用于设计和Windows图形界面自动化交互的程序。使用这样的语言来开发恶意程序,可以很容易的躲避杀毒软件的检测。

APT28样本实例分析

APT28样本实例分析

然后,我们将Zepakab中的AutoIt代码反编译,提取出其中的源码。可以看到,”main”函数是Zepakab的主要例程。Zepakab的主要功能是不断的在一个循环中获取系统信息,截取屏幕快照,发送给服务器。并且在需要的时候下载恶意样本驻留在系统中。

APT28样本实例分析

系统信息的收集是在”info”函数内完成的,info调用了”_computergetoss”函数。”_computergetoss”使用了Windows管理规范(WMI)的AutoIt接口,使用了查询语句”SELECT * FROM Win32_OperatingSystem”来查询系统信息。

APT28样本实例分析

APT28样本实例分析

该恶意软件通过下面的scr函数将桌面屏幕快照保存到”%TEMP% tmp.jpg”中。

APT28样本实例分析

在从服务器上下载了有效负载后,Zepakab会将它同过”crocodile”函数保存到”C: ProgramDataWindowsMicrosoftSettingssrhost.exe”中。

APT28样本实例分析

除了上述的一些主要功能外,Zepakab还有一些比较只能化的功能。例如反虚拟机,它会查找一些当前比较重要的虚拟机文件、进程以及通过特别算法计算的标识,从而实现虚拟机逃逸。

APT28样本实例分析

此外,”_sofware”函数通过注册表

“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall”

解析已安装的软件。同时通过systeminfo系统命令输出系统信息,并检索进程并将其纳入到系统信息中。

APT28样本实例分析

这份代码,并没有使用复杂的混淆技术,所以可以轻松的看到Downloader的服务器地址是185.236.203.53,uri是”locale/protocol/volume.php”。Downloader使用HTTP方式和服务器通信,并且使用base64编码和加密的方式发送和接受数据。

APT28样本实例分析

APT28样本实例分析

Zepakab在整个2019年是异常活跃的,虽然其开发方式非常简单,但是其危害程度并不低,而且APT28组织也异常快速地更新他们的武器。正因为简单的开发方式,其更新速度才得以更快。奇幻熊仍然更多地使用他们惯用的方法,鱼叉式攻击,0Day漏洞等等。在这种低成本的开发方式下,奇幻熊组织得以更有效地进行他们的网络攻击。

感谢你的阅读,相信你对“APT28样本实例分析”这一问题有一定的了解,快去动手实践吧,如果想了解更多相关知识点,可以关注亿速云网站!小编会继续为大家带来更好的文章!

文章标题:APT28样本实例分析,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/26416

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云认证作者
上一篇 2022年9月18日 下午10:23
下一篇 2022年9月18日 下午10:24

相关推荐

  • javascript可不可以加密

    javascript可以加密;一般的JavaScript代码基本没有必要加密,加密都会把体积变大影响加载速度,如果是敏感的业务,则可以对JavaScript代码进行加密,在书写业务代码的时候就要设计到安全问题,一般较好是把整体业务做拆分,核心计算的业务较好放到后台,把简单的逻辑搞复杂化然后加密。 本…

    2022年9月1日
    51300
  • coreldraw如何导出jpg图片

    coreldraw导出jpg图片的方法 1、打开软件,绘制好想要的图像。 2、点击菜单上方的文件,找到导出。 3、选择导出的格式,这里我们选择jpg。 4、点击导出即可。 关于“coreldraw如何导出jpg图片”这篇文章的内容就介绍到这里,感谢各位的阅读!相信大家对“coreldraw如何导出j…

    2022年9月21日
    65800
  • 知识库是什么

    知识库是关于产品、服务、部门或主题的自助式在线信息库。为了让大家更好的了解知识库是什么这个问题,下面我们将会围绕:1、企业知识库是什么;2、企业为什么需要知识库;3、知识库的好处有哪些;三点进行展开。 知识库中的数据可以来自任何地方。通常,精通相关主题的贡献者会给知识库增加或扩展内容。内容可以是从你…

    2022年3月18日
    54500
  • 如何进行bee-box LDAP注入的靶场练习

    如果说sql注入的本质是拼接字符串的话,那么一切可以注入的本质都是拼接字符串,LDAP注入作为注入的一种也不例外,更有趣一点的说它是在拼接圆括号(sql注入也拼接圆括号,但是更习惯性的是说它拼接字符串)。 在环境配置篇里面已经很详细的说了bee-box中ldap环境的配置,靶场练习篇更多的是php与…

    2022年9月18日
    65400
  • windows KB4531955安装失败如何解决

    KB4531955安装失败解决方法 方法一: 更新升级最新的.net framework(目前是4.8版本) 方法二: 1.点击开始按钮>输入cmd>右键点击搜索结果中的“命令提示符”>以管理员身份运行 2.在打开的命令提示符窗口中运行: net s较好 w…

    2022年9月1日
    38200
  • MySQL中数据库优化的常见sql语句有哪些

    1.SHOW ENGINES 查看执行引擎以及默认引擎。 2.SHOW PROCESSLIST SHOW PROCESSLIST查看当前数据库连接的使用情况,以及各种状态信息,非常有用。SHOW PROCESSLIST; 只列出前100条,如果想全列出请使用SHOW FULL PROCESSLIST…

    2022年9月1日
    28800
  • C/C++ 程序中的缓冲区下溢指的是什么

    1、缓冲区下溢 在前续专题中对缓冲区上溢进行了分析(见第7期),本文对缓冲区溢出的另一种情况——缓冲区下溢进行描述。缓冲区上溢专题中介绍的造成缓冲区溢出的原因同样适用于缓冲区下溢,因此在本文中就不再赘述。简单的说,缓冲区下溢是指当填充数据溢出时,溢出部分覆盖的是下级缓冲区。本文主要从缓冲区下溢的危害…

    2022年9月20日
    61100
  • 0xc000007b无法启动软件如何解决

    因为有些应用程序在运行时需要安装必须的组件,如果没有安装的话,可能就会在启动时弹出0xc000007b无法启动软件的提示,这时候我们只要为电脑安装他们就可以了,下面一起来看看吧。 0xc000007b无法启动软件怎么办: 方法一: 1、如果我们不知道安装什么组件,那么可以下载安装一个修复软件。【di…

    2022年9月16日
    54800
  • Redis常见分布锁的原理是什么和怎么实现

    常见的分布式锁的实现如下图: 基于数据库 悲观锁 悲观锁(Pessimistic Lock)顾名思义为很悲观的锁,每次在拿数据的时候都会上锁。这样别人想拿数据就被挡住,直到悲观锁被释放,悲观锁中的共享资源每次只给一个线程使用,其它线程阻塞,用完后再把资源转让给其它线程,但是在效率方面,处理加锁的机制…

    2022年8月30日
    48000
  • mysql如何统计查询结果

    在mysql中,可以使用COUNT()函数来统计查询结果;该函数用于统计查询结果的行数,返回表中符合特定条件的记录行数。COUNT()函数有三种语法:1、“COUNT(*)”,返回总行数,包含NULL和非NULL值的行;2、“COUNT(字段名)”,返回不包含NULL值的行数,会忽略空值行;3、“C…

    2022年9月22日
    1.3K00
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部