官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
概述
透明部落(Transparent Tribe ),别名APT36,ProjectM,C-Major,据称具有南亚背景,主要针对周边国家政治军事进行定向攻击活动,专属木马为CrimsonRAT。
免费在线沙箱anyrun(app.any.run)对于穷人来说是个发现有趣样本的好地方,其提供了一些标签搜索,且可免费下载样本,十分方便。
近期,在anyrun上搜索透明部落组织专属木马的家族名Crimson,发现了一例有有意思的攻击样本,该样本将图标设置为印度美女,诱导受害者点击查看,当受害者贪图美色点击执行之后,恶意的Crimson远控将被执行起来,并会向受害者展示一张穿衣服的印度美女图片,唉,透明部落怎么点都不透明。
样本分析
样本信息
| MD5 | 2af7237d253756cfd794441637b5b12f |
|---|---|
| 样本来源 | https://app.any.run/tasks/b7291124-f573-49ce-81ad-0b5c652764a8/ |
| 样本家族 | Crimson RAT |
| 样本图标 |  |
样本是.net的,dnspy搞一搞
运行后,首先判断系统位数,根据不同的操作系统从对应的地方获取相同的数据
之后将对应的数据释放到C:\ProgramData\Healths\mdhxme.zip,再解压该文件到C:\ProgramData\Healths\idtnwiuras.exe并执行起来
之后再从资源中获取数据写入图片文件,向受害者展示印度美女图片
释放的木马执行后,首先初始化相关配置
木马硬编码端口如下:
之后获取计算机系统名,用户名以及硬编码的“S.A.0.3|idtnwiuras”作为该样本的标识,用于后续与c2通信
获取ip作为c2,尝试连接
从c2获取命令,进入命令分发,执行对应功能
该样本功能齐全,基本具有远控木马所有功能,例如获取进程信息
运行指定文件
截屏并上传
结束指定进程
获取计算机信息
指令对应功能如下
| 命令 | 功能 |
|---|---|
| htintn-gtavprcs | 获取进程信息 |
| htintn-thurmb | 上传指定图片 |
| htintn-purtsrt | 执行指定文件 |
| htintn-filsz | 获取指定文件信息 |
| htintn-rupth | 上传指定文件 |
| htintn-procl | 获取进程信息 |
| htintn-dowf | 下载文件 |
| htintn-cscreen | 截屏 |
| htintn-scrsz | 设置截屏参数 |
| htintn-scren | 截图 |
| htintn-endpo | 结束指定进程 |
| htintn-dirs | 获取磁盘目录信息 |
| htintn-stops | 结束当前进程 |
| htintn-fles | 查找文件 |
| htintn-udlt | 删除用户 |
| htintn-dowr | 下载文件 |
| htintn-file | 上传指定文件 |
| htintn-fldr | 获取文件夹目录 |
| htintn-cnls | 参数初始化 |
| htintn-delt | 删除指定文件 |
| htintn-afile | 上传文件以及文件名 |
| htintn-runf | 执行指定文件 |
| htintn-listf | 文件搜索 |
| htintn-info | 获取计算机信息 |
与透明部落的关联
释放执行的马是透明部落独有的木马Crimson RAT
通过公开的一些威胁数据平台搜索其c2: 107.175.1.103,发现已有透明部落相关标识
Ioc
2af7237d253756cfd794441637b5b12f
107.175.1.103:3268
*本文作者:fuckgod,转载请注明来自FreeBuf.COM
已在FreeBuf发表 0 篇文章
- 0 文章数
- 0 关注者