响尾蛇(SideWinder)组织是据称具有南亚背景的APT团伙,其主要针对周边国家政府机构等重要组织开展攻击活动,窃取敏感信息。
在之前的文章中提到在线沙箱any.run是学生党获得样本分析的好地方,而关注一些安全研究员的社交账号则是获取APT样本信息的有效渠道。
近日,安全研究员公开披露了几起响尾蛇的攻击样本
因看到其中有新冠病毒相关的信息,遂想找到样本分析,遗憾的是,在anyrun搜索发现,只有一个样本存在,其他样本均没有在anyrun沙箱。
通过沙箱可发现,该样本是lnk文件,运行后将从远程下载hta文件执行
可惜的是远程连接已经404了,没法继续分析后续。通过anyrun直接找样本分析的路子断了,再次尝试从VT获取一些样本信息。
通过VT 搜索发现利用冠状病毒相关信息的样本也是lnk,运行后将会连接http://www[.]d01fa[.]net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta下载后续执行。但是该连接也失效了,幸运的是,在该样本的评论初,发现一个评论且该评论带有一个anyrun连接
进入anyrun可见该样本是一个hta文件,且其标题与lnk文件相同,且其网络行为中的域名也与lnk文件后续域名相同。因此可判定该样本即为lnk文件后续
至此,可以整理出该样本的相关信息如下
文件名 | Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf.lnk |
---|---|
Md5 | 3c9f64763a24278a6f941e8807725369 |
后续链接 | http://www.d01fa.net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta |
后续md5 | 7a4f9c2e5a60ec498c66d85d2df351e8 |
样本以巴基斯坦军队抗击冠状病毒为诱饵,并假装是pdf快捷链接,诱导受害者点击执行,一旦受害者执行,该lnk文件将会从http://www[.]d01fa[.]net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta下载后续Hta执行。
Hta文件内容如下
该hta主要功能为解密加载一个.netdll.
解密出dll后,获取杀软信息
加载dll,传入四个参数,分别是后续hta地址,传杀软信息的ur+杀软信息,诱饵pdf的内容,诱饵pdf的文件名
之后该dll将释放诱饵文件,诱饵内容与巴基斯坦军队抗击疫情相关
‘将再次从远程下载一个hta文件执行,但该链接目前又失效了,继续anyrun大法下载。
下载回来的hta与之前的类似,仍是解密加载一个dll文件。加载后调用dll的work函数
该dll主要将在\ProgramData\fontFiles目录下释放四个文件,并将白文件加入自启动,通过白文件加载该目录下的恶意Duser.dll
Duser.dll加载起来后,将读取所在目录下的tmp文件,并解密加载该文件
由于dnspy不能直接调试dll,所以可将该解密算法直接拷贝到vs里,解密文件写入即可
解密加载后的文件即为最终的恶意木马,该木马主要用于窃取信息以及接受远程命令执行,运行后,首先从资源解密配置
解密的配置信息如下,信息内容包括收集保存文件目录以及感兴趣的文件类型等
之后创建两个定时器函数执行
GetTimerCallback用于与c2通信,获取命令执行,根据不同命令执行相应功能
支持的功能如下
1.获取系统信息保存到%programdata%\\fontFiles\\font目录下的随机名.sir中
获取系统信息如下
2.收集所有目录信息的信息保存到%programdata%\\fontFiles\\font目录下的随机名.flc中
3. 收集特定文件类型的信息保存到%programdata%\\fontFiles\\font目录下的随机名.fls中
4.获取文件保存
5.更新c2地址
6.更新是否上传指定文件参数
7.重置想获取的特殊文件类型
8.设置文件大小限制
9.指定上传文件
另一个定时函数PostTimerCallback用于上传文件
此次样本与之前披露的过的响尾蛇样本基本一致
且其c2: cloud-apt.net在各威胁平台上都有响尾蛇的tag
Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf.lnk |
---|
3c9f64763a24278a6f941e8807725369 |
http://www.d01fa.net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta |
7a4f9c2e5a60ec498c66d85d2df351e8 |
https://cloud-apt.net/202/XlhXfuDrsNNxGUPCsYPOdQ78WmwuLRMZ2YCXvGWy/16364/11542/2c7c95c9 |