官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
情报链接推特
推特情报大佬公开了透明部落组织的攻击载体,笔者尝试进行下载分析和溯源关联。
该样本主要采用了doc文档的宏进行主要载体的下发和执行。
详细分析
1. Doc文档自身的宏代码
创建%ALLUSERSPROFILE%\Drmdsia\ 文件夹。
这是存储在窗体中的数据。
根据系统版本,也就是以win8为版本界限进行不同载荷的分发。
获取数据后,遍历数据都转换为byte型。
进行字符拼接添加”xe”,形成exe后缀.进行二进制字节写入,头部刚好为4D5A。
然后运行该exe文件,并带入参数(4)。
进行主页文字的更改,替换成textbox2的值。
2. PE文件
MD5 | 5414e98791d80ce3c0eadda6e00803e0 |
文件为木马的解压载体,dropper。
运行窗口类:
进行窗口初始化,进行窗口函数的注册,和参数的初始化。
进入到Form1_Load函数中。
首先进行文件解压。
将资源段的数据写入到" @"C:\ProgramData\Inthral\homgbrarn""中,然后进行移动更名为C:\ProgramData\Inthral\ rddlhasa.zip"然后进行解压,执行最终的深红木马。
第二个主要函数通过写入第二个资源数据到"C:\Users\malware\Documents\throvdgrva-12 .jpeg"中执行,不过这个样本中该资源数据为0,可能在之后添加新的载体。
3. 深红木马本体
MD5 | 77e3a20c53338c31259a5ff1a164de0b |
创建时间 | 2020-07-18 19:42:53UTC |
PDB | g:\newtimes\hafimus\homgbrarn\homgbrarn\obj\Debug\homgbrarn.pdb |
该木马和以前的木马功能架构上存在一致性,根据奇安信的分析报告可以看出相关功能,混淆除了字符串的不同,都是采用split进行字符提取。
Command | function |
xxxxxxx-procl | 枚举进程并打印 |
xxxxxxx-getavs | 枚举进程并打印 |
xxxxxxx-thumb | 上传gif图像 |
xxxxxxx-clping | 刷新运行时间 |
xxxxxxx-putsrt | 复制木马,设置自启动 |
xxxxxxx-filsz | 获取文件属性 |
xxxxxxx-rupth | 返回文件路径 |
xxxxxxx-dowf | 文件下载 |
xxxxxxx-endpo | 结束指定进程 |
xxxxxxx-scrsz | 设置截屏参数 |
xxxxxxx-cownar | 写入文件并执行 |
xxxxxxx-cscreen | 屏幕截图 |
xxxxxxx-dirs | 获取磁盘目录信息 |
xxxxxxx-stops | 停止截屏 |
xxxxxxx-scren | 获取屏幕截图 |
xxxxxxx-cnls | 参数初始化 |
xxxxxxx-udlt | 用户删除 |
xxxxxxx-delt | 文件删除 |
xxxxxxx-afile | 读取文件信息 |
xxxxxxx-listf | 文件搜索 |
xxxxxxx-file | 上传文件 |
xxxxxxx-info | 获取用户信息 |
xxxxxxx-runf | 文件执行 |
xxxxxxx-fles | 查找文件 |
xxxxxxx-dowr | 文件下载 |
xxxxxxx-fldr | 根据路径列出文件夹 |
CC地址为64.188.26.219
下面为端口号:
4820
6521
11422
15823
17824
IOC
MD5
71c0dc45746f79fdf3432956a16dc470
77e3a20c53338c31259a5ff1a164de0b
5414e98791d80ce3c0eadda6e00803e0
b00f497b8e657e6ac34c8481cf2fe16c
LP
64.188.26.219
已在FreeBuf发表 0 篇文章
- 0 文章数
- 0 关注者