APT28最新活动:Zepakab下载配置文件分析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

APT28最新活动:Zepakab下载配置文件分析

申博_新闻事件 申博 179次浏览 已收录 0个评论

Cybaze-Yoroi ZLab研究人员1月份观察了APT28的一同最新运动。样本最早是意大利平安研究人员发明的,随后在infoSec平安社区同享了该样本。

APT28最新活动:Zepakab下载配置文件分析

Cybaze-Yoroi ZLab平安研究人员依据该样本举行了进一步剖析。

手艺剖析

进击向量还不明白,APT28一样平常运用含有VB宏的钓饵office文档。但剖析的样本伪装模拟微软的serviceTray组件。

APT28最新活动:Zepakab下载配置文件分析

乍一看,可实行文件是用UPX v3.0紧缩器紧缩的,这是一种紧缩PE文件巨细的常用工具。

APT28最新活动:Zepakab下载配置文件分析

图1. 歹意PE信息

风趣的是,可实行文件的resource局部是典范的AutoIt v3编译的剧本二进制文件形式:AUT3!署名。

APT28最新活动:Zepakab下载配置文件分析

图2. 透露表现AutoIt v3 header的十六进制数据

反编译和提取剧本后,研究人员发明该剧本并设想的要简朴一些:由于没有运用殽杂和反剖析手艺。

运用AutoIt言语是近来Zepakab下载器版本的新特性,与初期的Zepakab版本比拟:行动和剧本构造异常类似,但新样本运用了分歧的C2服务器和文件名。

APT28最新活动:Zepakab下载配置文件分析

图3. 局部反编译的AutoIt剧本

在设置了C2 url和payload途径等变量后,剧本会挪用盘算32个字符随机ID的argv函数。

APT28最新活动:Zepakab下载配置文件分析

图4. 捏造32个字符的随机ID的函数

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

然后运转Zepakab 的中心main函数。歹意软件应用了recon函数,会提取盘算机的信息,并每分钟截屏一次。

APT28最新活动:Zepakab下载配置文件分析

图5. AutoIt剧本的main函数

然后把一切信息都base64编码,并经由过程connect函数竖立的SSL加密的HTTP信道将信息发送给C2服务器。在发送信息前,歹意软件会到场随机的字符防备对信息的自动化反编码,终究的要求如下图所示:

APT28最新活动:Zepakab下载配置文件分析

图6. 发送给C2的POST要求

发送给C2的机械信息是经由过程info函数网络的,该函数会挪用_computergetoss途径。末了的代码段好像是从AutoIT库剧本CompInfo.au3中直接复制过去的。CompInfo.au3是接见Windows Management Instrumentation框架数据的AutoIt接口。

APT28最新活动:Zepakab下载配置文件分析

图7. 提取受害者机械信息的函数

对代码进一步剖析的效果发明剧本中另有重用的代码:歹意样本中到场了AutoIT WinHttp wrapper来确保网络通讯是体系体系署理。

APT28最新活动:Zepakab下载配置文件分析

图8. 论坛用户同享base64剧本的博客

在竖立了通讯信道后,C2会剖析受害者的挂号信息,若是被入侵的机械是目的,就发送终究的payload。

Payload会保存在C:\ProgramData\Windows\Microsoft\Settings\srhost.exe并在函数crocodile中实行。

APT28最新活动:Zepakab下载配置文件分析

图9. 用来启动final payload的crocodile函数

若是final payload准确启动,函数就会设置$call变量为False,并且停止剧本的main轮回。

但C2没法接见了,以是没法提取final payload举行深入剖析。

结论

AutoIt Zepakab歹意软件虽然有许多破坏性的功用,但让人受惊的是它居然没有运用反剖析手艺并且异常简朴。Sofacy构造以至直接从公然的歹意剧本中直接复制代码,以构建一个物美价廉但有用的可以或许绕过传统反病毒软件的信息盗取器歹意软件。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明APT28最新活动:Zepakab下载配置文件分析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址