官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Web安全

APT32样本分析

2019-07-17 14:40:32

近日，安全工作人员在进行应急响应时捕捉到一个恶意样本，通过对MD5的查询了解到该样本被标记为APT32组织所使用，且样本上传时间较新，2046Lab通过分析发现样本虽新，但攻击手法依旧是常用手法，系通过邮件附件诱使目标点击从控制端下载后门软件并执行，从而达到控制主机的目的。

NanSh0u背景

APT32是一个从2014年活动至今的APT组织，也被称为”海莲花“（Ocean Lotus）组织。该组织主要针对工业领域、政府领域、以及与该组织政见不同的个人与记者。该组织被认为拥有越南背景并进行一系列符合越南国家利益的操作。

环境：Windows 7 32位

工具：Ollydbg、Wireshark、IDA Pro

文件信息：985b12d96e3e9292d5e67f3ff060786b

具体的行为流程如下：

微信图片_20190717110053.jpg

具体功能

原样本为一个压缩包，解压缩后含有一个exe文件与一个隐藏的dll文件。通过VT查询这两个文件的MD5，可以发现exe文件被判定为正常文件，dll文件被判定为恶意文件，白exe文件与黑dll文件的组合是典型的”白加黑“技术的运用场景。

将exe样本拖入OD中进行分析，若存在文件wwlib.dll，则加载该dll文件。在加载dll文件时，系统将优先在当前目录下寻找相同名称的dll，于是隐藏的恶意dll将被加载。该dll将在系统内释放一个doc文件，该文件的路径为C:\Users\root\AppData\Local\Temp\Document.doc。dll随后将写入该Document.doc文件的内容。写入完成后，该dll将打开该伪造的word文件，使受害者误以为该word文件为先前打开的带有word图标的exe白文件。word文件内容如下图所示。该dll将从内存中解密出一个shellcode，记为shellcode1。该dll将解密出的shellcode1复制到内存00210000准备执行。shellcode1执行后，首先将从内存002106CF处释放一个新的shellcode至内存00220000，记为shellcode2。shellcode1随后将创建一个新线程，该新线程所使用的代码即为先前释放出的shellcode2，线程起始位置为内存00220000。shellcode2将获取系统的网络适配器信息。shellcode2解密出一个新的shellcode，记为shellcode3。解密完成后，shellcode2将创建一个新线程，该新线程所使用的代码即为先前释放出的shellcode3，线程起始位置为内存00223000。shellcode3将尝试连接https://api.ciscofreak.com/Kgx2获取后续恶意文件。连接的具体详情如下图所示，由于该ip已无法连接，因此我们尝试修改寄存器值以继续进行动态分析。shellcode3将尝试获取控制端发送的数据大小。shellcode3将尝试获取从控制端发送的数据。shellcode3将接收的数据保存在内存02a700000，根据程序随后跳转至该内存空间运行，猜测接收的数据为一段shellcode。虽然无法获取控制器返回的内容，但根据对该DNS与URL的关联分析，获取了可能从控制端返回的文件内容。将该文件载入内存02a70000继续进行分析，可以发现，该文件的确是一段恶意shellcode，记为shellcode4。shellcode4将首先进行自解密，在内存02a7003c起始处得到一个PE文件，随后跳转至该PE文件的内存空间并执行该文件。该PE文件为一个后门程序，通过与控制端进行通信，从控制端接收指令，对被控端进行相应操作。该PE文件的将尝试与恶意URL https://api.ciscofreak.com/safebrowsing/rd/CltOb12nLW1IbHehcmUtd2hUdmFzEBAY7-0KIOkUDC7h2进行通信，HTTP头的内容如下。