Phân tích 1 Sample APT trước dịp tết nguyên đán Kỷ Hợi

Sugi_b3o

Moderator
Thành viên BQT
30/08/2016
319
448 bài viết
Phân tích 1 Sample APT trước dịp tết nguyên đán Kỷ Hợi
APT.png

Chào mọi người, trước dịp tết các tấn công APT cũng thay đổi cho phù hợp với không khí ngày tết nên nội dung cũng hot không kém, dưới đây là bài phân tích của mình từ Danh sách Thưởng xxx.doc

1.png

Tải file về và kiểm tra sơ bộ

2.png

Dùng yara rules với bộ rule dành cho document phát hiện có macro bên trong

3.png
Thông tin file cho thấy được tạo ra từ ngày 18/1/2019

4.png

Dùng Profiler mở file và tìm đến mã marco cho thấy tập tin sẽ lưu xuống file main_background.png sau đó thực thi "WScript.Shell" và gọi tiến trình "cmd.exe" và đồng thờighi vào thanh ghi khởi động cùng windows tại HKEY_CURRENT_USER\Software\Classes\CLSID\xxx

5.png

Tiếp theo lưu xuống một file chứa đoạn mã base64

6.png

Domain C&C và đoạn mã base64 để thực thi

7.png

File decode là một file thư viện dll

8.png

Mở file bằng IDA, có thể thấy được các hàm nạp IP của nạn nhân

9.png


10.png

Thư viện mở các cổng

11.jpg

Tiến hành dò trên threatminer.org để tìm thông tin về domain

12.png

Tổng kết: Sau khi mở file word người dùng sẽ mở shell kết nối đến domain C&C server word.webhop.info qua cổng 443 và tải về file main_background.png, thực chất file này là thư viện dll dưới tên rundll32.exe để kẻ tấn công mở cổng backdoor trên máy nạn nhân

IOC:

Danh sach thuong tet.doc

MD5: 5130950101BC4842A041235DCB87D17E

Domain: Word[.]webhop.info

IP: 109[.]248.149.96

Main_background.png
MD5: C74A24DEA88999797AACEEECD63EFAFF

P.s: Tết ai cũng muốn thưởng cả, chúc mọi người ăn tết vui vẻ, an toàn :D
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf
Mình chưa hiểu dòng chữ "Thư viện mở các cổng" và "các hàm nạp IP của nạn nhân" với hình ảnh chụp trong IDA ở dưới có liên quan gì đến nhau, mod giải thích giúp ạ.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình chưa hiểu dòng chữ "Thư viện mở các cổng" và "các hàm nạp IP của nạn nhân" với hình ảnh chụp trong IDA ở dưới có liên quan gì đến nhau, mod giải thích giúp ạ.
"Thư viện mở các cổng" ý mình là thư viện có chứa các hàm mở request ra bên ngoài thông qua 1 cổng nào đó,
"Các hàm nạp IP" là xác định ip của nạn nhân để đẩy shell, backdoor về máy chủ C&C
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
"Thư viện mở các cổng" ý mình là thư viện có chứa các hàm mở request ra bên ngoài thông qua 1 cổng nào đó,
"Các hàm nạp IP" là xác định ip của nạn nhân để đẩy shell, backdoor về máy chủ C&C
Ý mình là mod có thể phân tích chi tiết hơn được không
  • Theo như ảnh "Thư viện mở các cổng" thì đây là tab String trong ida, tất cả những gì kết luận được là chương trình có request ra ngoài internet, còn tương tác với C&C như thế nào thì không rõ.
  • Ảnh "Các hàm nạp IP" nhưng hình chụp bên dưới là các API SetLastError, RtlUnwind, RaiseException, CriticalSection,TlsAlloc, không hiểu kết luận kiểu gì ra đẩy shell, backdoor.
Tiêu đề là "phân tích 1 sample apt" nhưng nội dung bài viết lại rất hời hợt về phân tích mà chỉ đưa ra kết luận, ioc. Mong BQT lần sau phân tích rõ ràng hơn để ae đọc có thể hiểu được ạ o_O
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Ý mình là mod có thể phân tích chi tiết hơn được không
  • Theo như ảnh "Thư viện mở các cổng" thì đây là tab String trong ida, tất cả những gì kết luận được là chương trình có request ra ngoài internet, còn tương tác với C&C như thế nào thì không rõ.
  • Ảnh "Các hàm nạp IP" nhưng hình chụp bên dưới là các API SetLastError, RtlUnwind, RaiseException, CriticalSection,TlsAlloc, không hiểu kết luận kiểu gì ra đẩy shell, backdoor.
Tiêu đề là "phân tích 1 sample apt" nhưng nội dung bài viết lại rất hời hợt về phân tích mà chỉ đưa ra kết luận, ioc. Mong BQT lần sau phân tích rõ ràng hơn để ae đọc có thể hiểu được ạ o_O
Hi bạn,
Mình đã viết đoạn tổng kết về phân tích này rồi, chủ yếu là ở phân tích file word lấy được C&C và IP, đoạn mã base64 là thư viện hỗ trợ kèm theo, bạn thấy ko chi tiết thì có thể cùng viết lên chia sẻ, đóng góp, cái chính của việc Phòng thủ tấn công là ngăn chặn tấn công, tìm ra C&C và blacklist trước khi nó vào hệ thống của bạn.
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
apt docx malware
Bên trên