js1996官网

20240925181105_9935数字经济的安全基石

申请试用
蔓灵花APT组织最新的C#木马组件揭秘_2019_js1996官网动态_关于js1996官网_js1996官网信息

首页 > 关于js1996官网 > js1996官网动态 > 2019 > 正文

蔓灵花APT组织最新的C#木马组件揭秘

阅读量:

js1996官网安全钻研院猎影威胁谍报分析团队于今年4月份监控并发现“蔓灵花”(BITTER)组织针对我国多个敏感部门进行攻击 ,安全钻研团队对该次事务进行深刻了分析。通过持续监控 ,近期又发显熹起头了新的攻击 ,并参与了新的组件。

?

APT组织介绍

“蔓灵花”别名“BITTER” ,一个持久针对中国及巴基斯坦确当局、军工、电力、核等部门发起网络攻击 ,窃取敏感资料 ,拥有较强的政治布景。该组织最早在2016由美国安全公司Forcepoint进行了披露 ,他们发现攻击者使用的远程接见工具(RAT)变体使用的网络通讯头蕴含 “BITTER” ,所以该这次攻击定名为“BITTER” ,同年国内安全厂商也跟进颁布了分析汇报 ,定名为“蔓灵花”。

?

攻击样本分析

本次攻击(2019年9月份发现)使用了多个攻击样本 ,如捕获到一个定名为“mypictures.chm”的样本 ,该样本体式是chm ,文件被打开后展示一些图片:

20191026221055mMRTo7

通过查看代码发现它会在后盾通过msiexec号令去远程服务器下载msi文件

20191026221056Qr2JkA

观察过程树也能发现该行为:

201910262211278ZMnwI

通过js1996官网文件威胁分析平台检索域名gongzuosousuo[.]net,又发现多个样本 ,其中2个样本引起我们把稳:

201910262211492f41vC

这两个文件都是绑缚的主样本 ,它们假装成office图标的exe文件

20191026221213La8jtQ

其钟装中国新的对表安全政策.docx”打开后 ,是关于我国表交战术的文档 ,

20191026221232zuiYM0

另一个文档显示乱码:

201910262212584xN7yK

这两个文件除了显示假文档还会开释都“audiodq.exe” ,且回连还是一样域名:gongzuosousuo[.]net。

?

另表 ,通过该域名还能够关联到另一个msi样本wupd.msi。

20191026221330DhJ8rS

该样本会开释运行wupdte.exe ,wupdte.exe蕴含pdb信息为:

  • C:\Users\user\Desktop\360ActiveDefence 1.4 Sep2019\360ActiveDefence 1.4 V2\Release\360ActiveDefence.pdb

?

wupdte.exe的重要职能为获取基础信息和远程下载新样本并执行 ,

201910262213466QVXMl

该样本会网络推算机名、用户名、操作系统版本、操作系统序列号等信息 ,发送到mil.openendhostservice[.]org远程地址 ,并拷贝自身文件到

C:\Users\用户名\AppData\Roaming\Microsoft\Windows\SendTo\winupd.exe

并且还能够下载远程数据解密出样本并执行。

20191026221414CXxkPq

20191026221414Szw34p

接下来 ,分析chm文件下载的ausetup.msi文件 ,它运行后也会开释接装audiodq.exe”,其回连地址是:“lmhostsvc[.]net” ,持续使用平台检索该域名 ,发现叫做engineblock-2.jpg.exe法式

20191026221438dHFc8r

其运行后会打开图片和开释并运行audiodq.exe。

20191026221505XUjLaR

audiodq.exe和之前发现的样性子能一致 ,只是域名有所变动 ,如本次攻击所使用的其中一个域名为lmhostsvc[.]net

20191026221523YPsew6

并且通过js1996官网文件威胁分析平台分析关联到另一个域名zhulidailiren4winnt[.]net也是主 ?榛亓蛎。

?

深刻追踪发现BITTER组织对其组件进行了一些更新 ,其中最重要的变动是参与了两款.net的远控法式。

20191026221542fOSq45

从样本功夫来看最新更新的组件功夫为10月15日。

?

由于篇幅有限 ,之前的分析一笔带过。之前组件的职能汇总如下表所示:

样本名称

Md5

职能

audiodq.exe

6bb5614223a21db411b1cb3ed29465f5

主法式:发送基础信息 ,可接受黑客指令下载各个组件

regdl

be171b4df9b7db48c67f31c678421bfd

组件:设置主法式audiodq的注册表自启动 ?

spoolvs

fc516905e3237f1aa03a38a0dde84b52

组件:远控 ? ,具备美满的文件窃密职能 ,使用加密传输 ,密钥是”m50e!sq&n67$t” ,传输地址是:neth****pport.ddns.net

igfxsrvk

efec7464f07633415cbc36a97b900587

组件:键盘纪录 ?

dashost

d884f6d37c0202935db1a54c7f0a79ed

组件:职能同spoolvs ,文件hash分歧而已。

lsap

44e936f5f02fa3fdf5925ba9fbd486e5

组件:网络信息(网络的文件列表)和并将文件涉及的文件上传到:Sysi****vice.ddns.net

upmp

450005b247add0b1aa03cee00c90bc3b

组件:职能同lsap一样 ,文件hash分歧而已。

misis

11864ec73e6226f52a1e6e4074b33e89

组件:职能和lsap类似 ,当文件上传时采取的加密传输(参数base64+距离符切割) ,地址也是:Sysi****vice.ddns.net

putty

b3e0ed34b7ee16b12b80a4dc5f8dddae

正常文件.ssh登入工具putty.exe

?

我们将更新后的组件和之前的组件进行了对比分析 ,

  • 其中sleep、kill、regdl和之前的regdl一致为给audiodq法式设置自启动 ,

  • lsap*系列和之前的lsap职能大体上是一致的都是网络信息和文件并上传 ,

  • igfxsrvk和之前的也是一致的重要为键盘纪录职能 ,

  • winsvc和spoolvs职能一致为远控 ?。

    这些 ?橹澳艽筇逡谎 ,样本中的回连地址会做一些变动。

?

下面重要分析新参与的.net法式 ?镸SAServices、MSAServicet、onedriveManager、sessionmanagers。
?

MSAServices ?榉治

MSAServices为远程节造法式 ,重要职能为回连远程服务器进行号令节造和数据传输。

20191026221622Dl78G1

样本先回进行一个冒泡排序 ,将了局写入到

20191026221639G2wsid

C:\Users\Public\array.txt文件中 ,具体内容似乎并无什么意思。

20191026221658cNEsh8

而后进行了删除 ,猜测这么做的主张是为了判断系统是否是win7及以上的系统 ,在WIN XP下无法发现C:\Users\Public蹊径。

?

接着进行网络衔接操作并设置心跳状态按时回调函数。

20191026221720KBu81b

能够观察到网络衔接的C2域名为mswinhostsvc[.]net ,端口为 43821 ,被用于数据传输加解密的NetworkKey为745930。

201910262217538QP2od

其加密算法如下:

20191026221810zQwN49

而后接受和发送数据信息 ,发送的根基信息 ,蕴含系统版本、系统用户、系统目录、mac地址等等信息

20191026221831YCMTIq

还蕴含获取Win序列号信息等

20191026221854kjgACE

而后该法式会进行Processor挪用初始化。

20191026221915LBn5a4

蕴含了该法式能够执行的重要职能。

20191026221935yqDmHa

接管号令并进行执行并返回执行信息 ,职能如下所示:

包类型

完成功能

Delete File

删除文件

Get Processes

获取过程信息

Kill Processes

Kill过程

Suspend Processes

挂起过程

Resume Processes

复原过程

Get Process DLLs

获取过程中使用的dll信息

Get Process threads

获取过程中的线程信息

Mod Thread

扭转线程状态

Start Process

起头过程

FileMgr get drives

获取可用逻辑驱动器

FileMgr get Folders

获取目录下的文件信息

FileMgr Create File

创建文件

FileMgr Copy File

拷贝文件

FileTransfer Begin

传输文件

FileTransfer Data

传输数据

FileTransfer Complete

数据传输实现

FileTransfer for downloading start

传输文件

Get Command

获取指令

Start Command Prompt

起头号令并监控

Stop Command Prompt

实现号令

Connection Status

衔接状态

MSAServicet和MSAServices职能一致。

?

Sessionmanagers ?榉治

Sessionmanagers也为远程节造法式 ,重要职能为回连远程服务器进行号令节造和数据传输。

?

通过js1996官网文件威胁分析平台分析发现该样本的编译功夫有意被篡改。

201910262220011idyD9

该法式会衔接远程服务器进行号令和节造。

20191026222018Otmwyn

解密出远程服务器地址为winqrcservice[.]net ,端口为28564。

?

接着法式进行期待号令并处置号令阶段。

20191026222039QBjpTv

号令蕴含获守信息蕴含根基的信息和杀毒软件信息等 ,

201910262221018UCXH3

重要号令如下列表:

号令

职能

tskmgr

启动工作治理器

getinfo-

获取各类信息

prockill

Kill过程

proclist

列举过程

startcmd

开启cmd

stopcmd

终场cmd

cmd§

执行各类cmd指令

fdrive

获取逻辑驱动器信息

fdir§

获取目录下的文件信息

f1§

f1 +?drive name

fpaste§

移动或拷贝文件或文件夹

fexec§

执行法式

fhide§

设置文件属性为暗藏

fshow§

设置文件属性为可见

fdel§

删除文件

frename§

沉定名文件或文件夹名

ffile§

新建文件

fndir§

新建文件夹

getfile§

备份文件

putfile§

写入文件

fup

上传文件

fdl§

下载文件

fconfirm

号令确认

dc

循环接管指令

onedriveManager和sessionmanagers职能一致。

?

总结

通过该次分析 ,能够看出该组织疑似有新的C#开发成员参与或转向了C#研发 ,新的组件代码仍在持续开发阶段 ,部门职能并没有挪用或只是测试使用 ,通过回连域名发现攻击者相识中文 ,回连域名中蕴含中文拼音(如zhulidailiren4winnt、tongbanzhichi、gongzuosousuo)。

?

另表 ,其主题木马下载职能也做了更新 ,js1996官网安全钻研院猎影威胁谍报分析团队将持续监控该组织动态。由于篇幅关系内容有所精简 ,需具体汇报请联系邮箱ti@dbappsecurity.com.cn

?

?

IOC

域名:

hxxp://lmhostsvc[.]net

hxxp://zhulidailiren4winnt[.]net

hxxp://mswinhostsvc[.]net

hxxp://winqrcservice[.]net

hxxp://winlocsec.ddns[.]net

hxxp://tongbanzhichi[.]net

hxxp://mscnsservice.ddns[.]net

hxxp://gongzuosousuo[.]net

hxxp://mil.openendhostservice[.]org

?

文件MD5:

c87641a13843682ae16a5da18ffee654

46ef2c0db107b794516dc2b2622e44ad

4b0e5c5c4e0e22f2dfeef0531e021072

b5c66d01d0e96b04702030ed23add415

b5c66d01d0e96b04702030ed23add415

c831af87ab876bd774784eb8f3338b4b

ae02f2f8100de5f9f155f4b8ce3e494e

8831eac19d1a1c30697057fa501d063f

d8c76c736a3285378bc82ea9cd3c972d

4bfff2480fb6eaa0ef82abb0092c2586

a24d5a8f6a916fe976face1f145cf297

79a1e1d2ea5c629f60ef00a96ec4d0fe

be171b4df9b7db48c67f31c678421bfd

e421808b24c1ebd4cf0a078c6e66ded8

fc572eec5ae8b38428259c5d8fc5a05f

关关

20240102184719_8730

客服在线征询入口 ,等待与您互换

线上征询
commrr_dot04 commrr_dot04on 产品试用

即刻预约免费试用 ,我们将在24幼时内联系您

联系js1996官网

征询电话:400-6059-110

微信征询
js1996官网信息联系方式
commrr_top
【网站地图】