👻
security
  • 计算机技术
  • OWASP TOP 10
  • 名词解释
  • 1
    • 常见端口利用
    • F5 big-ip从环境搭建到漏洞复现
    • 红队资源
  • About
    • APT
      • 海莲花(APT-C-00)
        • 样本分析
      • 毒云藤(APT-C-01)
        • 大规模钓鱼攻击活动披露
        • 2020上半年针对我重要机构定向攻击活动揭秘
      • 响尾蛇(T-APT-04)
        • 利用WebSocket隧道的新型攻击活动披露
      • 蔓灵花(APT-C-08)
        • 移动平台攻击活动揭露
      • 蓝宝菇(APT-C-12)
        • 组织使用云存储技术发起的最新攻击活动披露
      • 双尾蝎组织(APT-C-23)
        • 针对中东地区的最新攻击活动
      • Lazarus(APT-C-26)
        • 暴风行动 -利用MATA框架针对数字货币行业的攻击活动揭秘
      • Fancy Bear(APT-C-28)
        • 携小众压缩包诱饵对北约、中亚目标的定向攻击分析
      • 肚脑虫组织(APT-C-35)
        • 使用升级版数字武器针对周边地区的攻击活动
        • 针对巴基斯坦的攻击活动
      • 拍拍熊(APT-C-37)
      • 军刀狮(APT-C-38)
      • 蓝色魔眼(APT-C-41)
        • 组织首次针对我国重要机构定向攻击活动披露
      • 美人鱼(Infy)
        • 使用最新的Foudre后门进行攻击活动的分析
    • 各类靶场讲解
      • sqli-labs
      • upload-labs
      • xss-labs
    • CISP题库
    • Docker
      • Docker基线
        • docker基线-概述
        • 推荐一
        • 推荐二
        • 推荐三
        • 推荐四
        • 推荐五
        • 推荐六
      • 命令与选项
      • 基于Docker的固件模拟
      • 固件相关
      • Docker 私有仓库搭建
      • 基础命令的背后
      • 渗透思路调研
      • Docker容器环境检测方法【代码】
    • 浏览器
    • markdown
    • 密码学
    • 内网渗透TIPS
    • 网络扫描
    • 正则表达式
  • 操作系统
    • Android
      • APK终端安全分析法
      • 应用审计指南
        • 通用审计方法
    • IOS
      • 应用审计指南
    • Linux
      • 反弹shell
      • 基线检查
      • SHELL编程
      • 实战技能
    • windows
      • BACKDOOR with 权限维持
      • 磁盘取证实验
      • 基线检查
      • 免杀抓取明文
      • payload下载方式
      • powershell
      • 日志分析
        • 分析工具
      • Untitled
  • 数据库
    • db2
    • mysql
      • webshell写入
      • 基础知识
      • 核心技术
      • 高级应用
    • oracle
      • webshell写入
    • SQLserver
      • webshell写入
  • 中间件
    • apache
      • 基线检查
      • 日志审计
    • iis
      • 基线检查
      • 7.5解析绕过漏洞
    • nginx
      • 基线检查
    • tomcat
      • 基线检查
  • 编程语言
    • C
    • Java
      • webshell
        • 查杀Java web filter型内存马
        • Filter/Servlet型内存马的扫描抓捕与查杀
        • 基于内存 Webshell 的无文件攻击技术研究
        • 基于tomcat的内存 Webshell 无文件攻击技术
        • Tomcat 内存马检测
      • 代码审计
      • 代码审计指南
      • 浅析Java命令执行
      • 相关框架简介及漏洞
    • PHP
      • 代码审计
      • 破解DVWA-admin密码
      • webshell
        • 常见php一句话webshell解析
        • PHP Webshell Hidden Learning
        • Webshell免杀研究
        • Webshell那些事-攻击篇
        • 过D盾webshell分享
      • 相关框架简介及漏洞
    • python
      • 安全编码规范-代码审计
      • 编码规范
      • fishc
      • 某教程涉及脚本
      • POC编写相关
      • python秘籍
        • 上半部分
        • 下半部分
      • 安全方面的内容
        • Python Opcode逃逸笔记
        • 虚拟机逃逸
      • with-EXCEL
      • 相关框架简介及漏洞
      • 源码剖析
        • 多线程和GIL锁
        • Set容器
        • 统一内存管理
        • 信号处理机制
        • 循环垃圾回收器
        • 字符串对象PyStringObject
        • 整数对象PyIntObject
        • 字节码和虚拟机
    • 汇编
    • Javascript
      • Tampermonkey Script
  • AIGC
    • howtouse
  • 网络
    • CCNA
  • 漏洞类型及讲解
    • 综合
    • 技术分享
      • 暴力破解与信息泄露
      • 信息泄露漏洞_java
      • sqli-with-java
      • python远程命令执行与SSRF
    • SQL-Injectoin
    • Cross-Site Scripting
      • 跨站的艺术-XSS入门与介绍
      • 跨站的艺术-XSS Fuzzing 的技巧
      • 给开发者的终极XSS防护备忘录
      • AngularJS特性的 XSS
    • 文件操作
      • 文件包含
  • how-to-use
    • Acunetix(AWVS)
      • 安装到使用
      • 编写AWVS脚本探测web services
      • 简单分析-web方面
      • 流量分析特征
    • burpsuite
      • 导出报告方式
      • captcha-killer
      • FAKE-IP
      • JSFind
      • 编写插件绕过WAF
    • Cobalt Strike
      • Cobalt Strike Powershell过360+Defender上线
    • FOFA
    • GDB
    • PowerSh
      • 获得Powershell命令的历史记录
      • 深入分析PowerShell的两面性
      • 内网渗透利器之PowerSploit
      • PoC:滥用PowerShell Core
      • 如何绕过PowerShell访问限制并实现PowerShell代码执行
      • 工具包
      • 无powershell运行powershell方法总结
    • sheji
    • sqlmap
      • Atlas修改SQLMap tampers 绕过WAF/IDS/IPS
      • 内核分析
      • 检测剖析
      • tamper
      • UDF
      • --os-shell
      • sqlmapapi
      • with burp
      • 网络特征
    • Matlab
    • Metasploit
      • 与Powershell
    • NESSUS
      • 流量分析特征
      • Untitled
    • Network MapTools
      • 流量特征修改
      • 识别主机指纹
    • waf
      • ngx-lua-waf
      • modsecurity
由 GitBook 提供支持
在本页
  • 1.组织简介
  • 2.样本分析
  • 2.1 31PN.xls
  • 2.2加密数据
  • 2.3 Loader dll
  • 2.4 mentn.dll
  • 3.网络流量分析
  • 3.1 下载Loader dll文件
  • 3.2 下载加密数据
  • 4.恶意域名
  • 5.活动特征

这有帮助吗?

  1. About
  2. APT
  3. 肚脑虫组织(APT-C-35)

使用升级版数字武器针对周边地区的攻击活动

上一页肚脑虫组织(APT-C-35)下一页针对巴基斯坦的攻击活动

最后更新于4年前

这有帮助吗?

1.组织简介

Donot“肚脑虫”(APT-C-35)是疑似具有南亚背景的APT组织,其主要以周边国家的政府机构为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。

2.样本分析

2.1 31PN.xls

文件名

Md5

31PN.xls

94a48c8430c69baca1ee704a1306d75d

攻击样本是个xls文件,可以看到用的是office宏攻击,当office没有打开宏的时候会提示用户启用宏。

启用宏之后文件里面看上去什么内容都没有。

分析发现c4单元格和c10单元格里面存在两个字符串,字体颜色被改成了白色所以在单元格里面看不到。

另外一个表格中也存在两行字符串。

2.1.1 XLS文件包含的字符串

字符串内容如下。

2.1.2 恶意宏代码

恶意样本存在的宏代码被加密了。

对宏代码进行解密,其中sheet1里面没有代码,sheet2里面的宏代码如下。

ThisWorkbook关键宏代码如下,可以看出宏代码从前面单元格中特定位置获取字符组成URL。

之后根据组成的URL从服务器端下载恶意dll文件和加密的数据保存在%Temp%目录下,并加载下载的dll文件。

2.2加密数据

文件下载的URL

Md5

http://yourcontents.xyz/p

e0ac8629a362b8a34fa17a83070e701f

从yourcontents.xyz/p下载的加密数据内容如下。

可以看出加密明显使用的是异或加密,并且异或的值为0x98,对数据内容进行解密之后发现也是一个dll文件。

2.3 Loader dll

文件下载的URL

Md5

http://yourcontents.xyz/f

7e1402709b8f0688a231d37f5e54e8ca

从yourcontents.xyz/f下载的loader dll 文件内容如下。

2.3.1 对加密数据进行解密

这个dll文件会读取%temp%下一起下载的一个被加密的文件。

对样本中的代码进行分析发现确实是异或加密,解密的时候是从最后面开始进行解密。

之后将解密的数据写入到下面的文件里面。

循环获取Ole32.dll里面的CoInitializeEx函数的地址。

在循环的时候里面存在sleep函数,减慢分析过程。

2.3.2 持久化

在系统启动目录下创建快捷方式启动smd.js脚本文件,达到持久化的目的。

但是这里整个Loader dll程序都跑完了,smd.js这个文件里面没有被写入什么数据。

2.4 mentn.dll

文件名

Md5

mentn.dll

64a77ab70f8f7a395d6c7668e07a565d

这个文件存在一些反调试,已知的包括通过安装目录判断是否安装了常见的杀毒软件,通过特殊指令ed 81 fb 68 58 4d 56 0f 94 45 e7 5b 59 5a c7 45检测是否在虚拟机当中,通过检测顶层窗口判断是否是在真实环境当中,通过硬盘的大小判断是否在虚拟机当中,检测适配器地址以检测虚拟网络接口。

在真实机中跑起来之后也没什么行为,调试的话有些反调试过不去,所以分析只能到这里了。

3.网络流量分析

3.1 下载Loader dll文件

3.2 下载加密数据

4.恶意域名

域名

ip

yourcontents.xyz

178.62.8.202

filepage.icu

198.199.125.161

remindme.top

45.79.53.43

filecopying.xyz

167.99.182.241

5.活动特征

这次分析的攻击活动具有如下特点:

  • Excel文档中嵌入恶意宏代码。

  • 在Excel文档中写入超长字符串,通过恶意宏代码从字符串中特定位置获取字符拼接为远程服务器地址。

  • 将恶意木马分成loader模块和加密数据模块,最终恶意木马由loader模块解密释放并执行。

  • 最终恶意样本在内存中解密执行,实现无文件加载。