以下各部分将说明有关恶意软件的详细信息,包括配置、通信格式和模块。
2.配置(Configuration)
恶意软件的配置(大小0x6DE)被加密并存储在注册表项中,并在执行时加载。在此分析中,已确认配置存储在以下目录中:
- Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceseventlogApplication
- Value: Emulate
图2是一个解码配置示例,它包含一个加密密钥以及C&C服务器的信息。(详见附录A)
Windows API名称也经过AES加密。在解密API字符串后,将解析由LoadLibrary和GetProcAddress调用的API的地址。
POST数据的参数([param])是从以下随机选择的。
- tname;blogdata;content;thesis;method;bbs;level;maincode;tab;idx;tb;isbn;entry;doc;category;articles;portal;notice;product;themes;manual;parent;slide;vacon;tag;tistory;property;course;plugin
POST数据中的值是以下数据的Base64编码的字符串。
- [default AES Key]@[Unique ID]
如果从C&C服务器返回一个与Cookie(Base64编码)中的“ 4位认证密钥”相同的值作为响应,则该恶意软件将发送以下信息。第二次通信后,恶意软件发送以下HTTP POST请求。
在第三次通讯时,将下载一个模块(Module)。以下是下载模块时来自C&C服务器的响应示例。
通信以与前面提到的几乎相同的格式执行。经确认,该模块具有以下功能:
- 对文件的操作(创建列表、删除、复制、修改创建的时间)
- 对进程的操作(创建列表、执行、终止)
- 上传/下载文件
- 创建并上传任意目录的ZIP文件
- 执行任意shell命令
- 获取磁盘信息
- 修改系统时间
6.横向移动
为了横向移动,在通过Pyinstaller将其转换为Windows PE文件后,使用了SMBMap这个Python工具。该工具允许通过SMB访问远程主机,攻击者通过利用事先获得的帐户信息来横向传播感染。
- https://github.com/ShawnDEvans/smbmap
二.恶意软件BLINDINGCAN
在上一部分,我们介绍了Lazarus在 络入侵后使用的一种恶意软件。可以肯定的是,该组织使用了多种类型的恶意软件,其中包括CISA最近在其 告中引入的BLINDINGCAN。接下来我们分析BLINDINGCAN的攻击流程。
- CISA:恶意软件分析 告(AR20-232A)
1.BLINDINGCAN概述
当加载程序加载DLL文件时,恶意软件就会运行。图1显示了BLINDINGCAN运行之前的事件流。JPCERT/CC 已确认DLL文件已在某些示例中编码(这需要在执行前由加载程序进行解码)。
3.混淆(Obfuscation)
BLINDINGCAN中的某些代码部分使用RC4进行了混淆。下图是混淆代码的示例。RC4加密密钥在示例本身中进行了硬编码。
数据格式如下,除了RC4密钥,所有值都是RC4加密和Base64编码的。第一个HTTP POST请求中的param2是字符串“T1B7D95256A2001E”的编码值。
下图是从与C&C服务器通信开始到接收命令的通信流程。
(By:Eastmount 2020-11-19 星期四 晚上8点写于贵阳 http://blog.csdn.net/eastmount/ )
文章知识点与官方知识档案匹配,可进一步学习相关知识 络技能树首页概览22129 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!