Phân tích 1 Sample APT trước dịp tết nguyên đán Kỷ Hợi

Thảo luận trong 'Exploitation' bắt đầu bởi Sugi_b3o, 04/02/19, 06:02 PM.

  1. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 271
    Đã được thích: 207
    Điểm thành tích:
    43
    Chào mọi người, trước dịp tết các tấn công APT cũng thay đổi cho phù hợp với không khí ngày tết nên nội dung cũng hot không kém, dưới đây là bài phân tích của mình từ Danh sách Thưởng xxx.doc
    upload_2019-2-4_18-20-25.png
    Tải file về và kiểm tra sơ bộ
    upload_2019-2-4_18-21-0.png
    Dùng yara rules với bộ rule dành cho document phát hiện có macro bên trong
    upload_2019-2-4_18-21-47.png
    Thông tin file cho thấy được tạo ra từ ngày 18/1/2019
    upload_2019-2-4_18-22-48.png
    Dùng Profiler mở file và tìm đến mã marco cho thấy tập tin sẽ lưu xuống file main_background.png sau đó thực thi "WScript.Shell" và gọi tiến trình "cmd.exe" và đồng thờighi vào thanh ghi khởi động cùng windows tại HKEY_CURRENT_USER\Software\Classes\CLSID\xxx
    upload_2019-2-4_18-25-53.png

    Tiếp theo lưu xuống một file chứa đoạn mã base64
    upload_2019-2-4_18-28-43.png
    Domain C&C và đoạn mã base64 để thực thi
    upload_2019-2-4_18-29-44.png

    File decode là một file thư viện dll
    upload_2019-2-4_18-31-0.png

    Mở file bằng IDA, có thể thấy được các hàm nạp IP của nạn nhân
    [​IMG]
    upload_2019-2-4_18-31-41.png

    Thư viện mở các cổng
    [​IMG]

    Tiến hành dò trên threatminer.org để tìm thông tin về domain

    upload_2019-2-4_18-30-4.png

    Tổng kết: Sau khi mở file word người dùng sẽ mở shell kết nối đến domain C&C server word.webhop.info qua cổng 443 và tải về file main_background.png, thực chất file này là thư viện dll dưới tên rundll32.exe để kẻ tấn công mở cổng backdoor trên máy nạn nhân

    IOC:

    Danh sach thuong tet.doc

    MD5: 5130950101BC4842A041235DCB87D17E

    Domain: Word[.]webhop.info

    IP: 109[.]248.149.96

    Main_background.png
    MD5: C74A24DEA88999797AACEEECD63EFAFF

    P.s: Tết ai cũng muốn thưởng cả, chúc mọi người ăn tết vui vẻ, an toàn :D
     

    Các file đính kèm:

    Chỉnh sửa cuối: 04/02/19, 07:02 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf thích bài này.
  2. hainhc

    hainhc W-------

    Tham gia: 25/01/16, 03:01 PM
    Bài viết: 18
    Đã được thích: 12
    Điểm thành tích:
    3
    Mình chưa hiểu dòng chữ "Thư viện mở các cổng" và "các hàm nạp IP của nạn nhân" với hình ảnh chụp trong IDA ở dưới có liên quan gì đến nhau, mod giải thích giúp ạ.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 271
    Đã được thích: 207
    Điểm thành tích:
    43
    "Thư viện mở các cổng" ý mình là thư viện có chứa các hàm mở request ra bên ngoài thông qua 1 cổng nào đó,
    "Các hàm nạp IP" là xác định ip của nạn nhân để đẩy shell, backdoor về máy chủ C&C
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. hainhc

    hainhc W-------

    Tham gia: 25/01/16, 03:01 PM
    Bài viết: 18
    Đã được thích: 12
    Điểm thành tích:
    3
    Ý mình là mod có thể phân tích chi tiết hơn được không
    • Theo như ảnh "Thư viện mở các cổng" thì đây là tab String trong ida, tất cả những gì kết luận được là chương trình có request ra ngoài internet, còn tương tác với C&C như thế nào thì không rõ.
    • Ảnh "Các hàm nạp IP" nhưng hình chụp bên dưới là các API SetLastError, RtlUnwind, RaiseException, CriticalSection,TlsAlloc, không hiểu kết luận kiểu gì ra đẩy shell, backdoor.
    Tiêu đề là "phân tích 1 sample apt" nhưng nội dung bài viết lại rất hời hợt về phân tích mà chỉ đưa ra kết luận, ioc. Mong BQT lần sau phân tích rõ ràng hơn để ae đọc có thể hiểu được ạ o_O
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 271
    Đã được thích: 207
    Điểm thành tích:
    43
    Hi bạn,
    Mình đã viết đoạn tổng kết về phân tích này rồi, chủ yếu là ở phân tích file word lấy được C&C và IP, đoạn mã base64 là thư viện hỗ trợ kèm theo, bạn thấy ko chi tiết thì có thể cùng viết lên chia sẻ, đóng góp, cái chính của việc Phòng thủ tấn công là ngăn chặn tấn công, tìm ra C&C và blacklist trước khi nó vào hệ thống của bạn.
     
    Chỉnh sửa cuối: 11/02/19, 09:02 AM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Tags: