freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

疑似APT28最新键盘记录器样本分析
2020-10-12 11:17:52

1 概述

9月初,威胁分析高级专家Alexey Vishnyakov在twitter上发布使用Nim语言编写的疑似APT28的键盘记录器类样本。白泽安全实验室获取Alexey Vishnyakov提供的样本进行分析,经分析,该类样本使用Nim语言编写,这似乎符合APT28近期恶意代码开发风格,而且该类键盘记录器样本似乎正在开发中,并没有嵌入C&C,这和Alexey Vishnyakov在twitter上阐述的信息基本一致。

以下是白泽安全实验室对疑似APT28的键盘记录器类样本进行的详细分析。

2 样本分析

由于6个样本均是Nim语言编写键盘记录器且代码相似度非常高,因此只对其中一个样本进行分析,以下是样本详细分析。

将自身复制到%AppData%/Roaming/,复制后的名字为explorer.exe;其他样本自身复制后名称均不同。

1601349712_5f72a8502353b0b481ef5.png!small

打开“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”将上文创建的explorer.exe写入,名称为Windows Explorer,将explorer.exe设置为开机启动。

1601349724_5f72a85cd6d09f8df790d.png!small

在新的线程里进行键盘记录,对WH_KEYBOARD_LL进行Hook。

1601349740_5f72a86c2d1595cb91288.png!small

1601349743_5f72a86fb2c71d3e8cbeb.png!small

获取到消息后,由keyboardHandler函数进行处理,进行键盘记录与写入,猜测再调用sendimpl函数将键盘记录发送到C2,但是这批样本似乎正处于开发中,并未嵌入C2。

1601349748_5f72a874ae7c91790fa47.png!small

1601349753_5f72a879422a8c58b132b.png!small

3 参考链接

Twitter:https://twitter.com/Vishnyak0v/status/1300704689865060353

文章地址:https://mp.weixin.qq.com/s/Cgbqoo0NelZX6ZebiNZQDw

本文作者:, 转载请注明来自FreeBuf.COM

# APT28
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑