PatchWorkAPT是一個比較有意思的名字,源于該組織武器庫是基于開源的代碼拼湊而成(地下論壇、暗網、github等等),組織主要目标是美國軍事和政治機構,曾被賽門鐵克、卡巴多次對組織Attack活動披露。
組織善用于office_cve武器庫,從奇安信github收錄以往的樣本統計中來看,office_cve通殺漏洞占據了主導地位。
以往的套路,通過漏洞進行提權和載荷的釋放,利用msf進行回連,這裡不做累述,有好的文章可以參考套路如下連結,本篇文章主要分析C2樣本功能:
https://www.freebuf.com/articles/network/108637.html
➬ IOCs:
| Column 1 | Column 2 |
|---|---|
| 檔案名 | 0f4f6913c3aa57b1fc5c807e0bc060fc |
| 大小 | 195072 bytes |
| MD5 |
➬ 樣本分析:
➀ 圖中url并非是組織服務端,而是用來測試通信是否有網絡連接配接。
➁ 動态的擷取函數位址,如下所示:
➂ http封包截獲,如下所示:
↪ 動作一:
➃ 采集系統資訊,主機名,uudi,系統版本等,如下所示:
➄ CreateThread感染分發,其中循環體中CreateThread不停分發感染線程:
➅ 405BC0線程回調會在Temp臨時目錄下釋放檔案,如下所示:
➆ 建立視窗,注冊的視窗類中會包含視窗回調,用來嵌套惡意線程,線程用于初始化儲存資料配置本地檔案,如下所示:
↪ 動作二:
➇ 分發線程,初始化竊取資料配置檔案,不同資料采集本地建立不同檔案儲存,如下采集系統檔案名清單:
周遊全部磁盤,記錄字尾xls/xlsx/pdf/docx.pptx絕對路徑儲存至edg499.dat檔案中。
➈ 循環中分發感染線程回調函數是一樣的,如下所示:
➬ C2:
➯ 初始化配置:
➚ POST封包初始化:
POST //e3e7e71a0b28b5e96cc492e636722f73//4sVKAOvu3D//ABDYot0NxyG.php HTTP/1.1..HOST: ..User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:44.0) Gecko/20100101 ..Accept: application/x-www-form-urlencoded..Content-Type: application/x-www-form-urlencoded..Cache-Control: no-cache..Content-Length: 52....eI4=gLTB0mmwj6I8+jzh1sVD89McJO&zFi=iBjLOA==&crc=e3a6 ➚ Socket配置初始化
➚ 分解服務端傳回的指令封包,指令功能執行: