Phân tích 1 Sample APT trước dịp tết nguyên đán Kỷ Hợi

[Sugi_b3o]

Chào mọi người, trước dịp tết các tấn công APT cũng thay đổi cho phù hợp với không khí ngày tết nên nội dung cũng hot không kém, dưới đây là bài phân tích của mình từ Danh sách Thưởng xxx.doc

Tải file về và kiểm tra sơ bộ

​

Dùng yara rules với bộ rule dành cho document phát hiện có macro bên trong

Thông tin file cho thấy được tạo ra từ ngày 18/1/2019

​

Dùng Profiler mở file và tìm đến mã marco cho thấy tập tin sẽ lưu xuống file main_background.png sau đó thực thi "WScript.Shell" và gọi tiến trình "cmd.exe" và đồng thờighi vào thanh ghi khởi động cùng windows tại HKEY_CURRENT_USER\Software\Classes\CLSID\xxx

​

Tiếp theo lưu xuống một file chứa đoạn mã base64

​

Domain C&C và đoạn mã base64 để thực thi

File decode là một file thư viện dll

​

Mở file bằng IDA, có thể thấy được các hàm nạp IP của nạn nhân

Thư viện mở các cổng

Tiến hành dò trên threatminer.org để tìm thông tin về domain

Tổng kết: Sau khi mở file word người dùng sẽ mở shell kết nối đến domain C&C server word.webhop.info qua cổng 443 và tải về file main_background.png, thực chất file này là thư viện dll dưới tên rundll32.exe để kẻ tấn công mở cổng backdoor trên máy nạn nhân

IOC:

Danh sach thuong tet.doc

MD5: 5130950101BC4842A041235DCB87D17E

Domain: Word[.]webhop.info

IP: 109[.]248.149.96

Main_background.png
MD5: C74A24DEA88999797AACEEECD63EFAFF

P.s: Tết ai cũng muốn thưởng cả, chúc mọi người ăn tết vui vẻ, an toàn

 

Mình chưa hiểu dòng chữ "Thư viện mở các cổng" và "các hàm nạp IP của nạn nhân" với hình ảnh chụp trong IDA ở dưới có liên quan gì đến nhau, mod giải thích giúp ạ.

 

Mình chưa hiểu dòng chữ "Thư viện mở các cổng" và "các hàm nạp IP của nạn nhân" với hình ảnh chụp trong IDA ở dưới có liên quan gì đến nhau, mod giải thích giúp ạ.

"Thư viện mở các cổng" ý mình là thư viện có chứa các hàm mở request ra bên ngoài thông qua 1 cổng nào đó,
"Các hàm nạp IP" là xác định ip của nạn nhân để đẩy shell, backdoor về máy chủ C&C

 

"Thư viện mở các cổng" ý mình là thư viện có chứa các hàm mở request ra bên ngoài thông qua 1 cổng nào đó,
"Các hàm nạp IP" là xác định ip của nạn nhân để đẩy shell, backdoor về máy chủ C&C

Ý mình là mod có thể phân tích chi tiết hơn được không

• Theo như ảnh "Thư viện mở các cổng" thì đây là tab String trong ida, tất cả những gì kết luận được là chương trình có request ra ngoài internet, còn tương tác với C&C như thế nào thì không rõ.
• Ảnh "Các hàm nạp IP" nhưng hình chụp bên dưới là các API SetLastError, RtlUnwind, RaiseException, CriticalSection,TlsAlloc, không hiểu kết luận kiểu gì ra đẩy shell, backdoor.

Tiêu đề là "phân tích 1 sample apt" nhưng nội dung bài viết lại rất hời hợt về phân tích mà chỉ đưa ra kết luận, ioc. Mong BQT lần sau phân tích rõ ràng hơn để ae đọc có thể hiểu được ạ

 

Ý mình là mod có thể phân tích chi tiết hơn được không

• Theo như ảnh "Thư viện mở các cổng" thì đây là tab String trong ida, tất cả những gì kết luận được là chương trình có request ra ngoài internet, còn tương tác với C&C như thế nào thì không rõ.
• Ảnh "Các hàm nạp IP" nhưng hình chụp bên dưới là các API SetLastError, RtlUnwind, RaiseException, CriticalSection,TlsAlloc, không hiểu kết luận kiểu gì ra đẩy shell, backdoor.

Tiêu đề là "phân tích 1 sample apt" nhưng nội dung bài viết lại rất hời hợt về phân tích mà chỉ đưa ra kết luận, ioc. Mong BQT lần sau phân tích rõ ràng hơn để ae đọc có thể hiểu được ạ

Hi bạn,
Mình đã viết đoạn tổng kết về phân tích này rồi, chủ yếu là ở phân tích file word lấy được C&C và IP, đoạn mã base64 là thư viện hỗ trợ kèm theo, bạn thấy ko chi tiết thì có thể cùng viết lên chia sẻ, đóng góp, cái chính của việc Phòng thủ tấn công là ngăn chặn tấn công, tìm ra C&C và blacklist trước khi nó vào hệ thống của bạn.