APT28 样本分析报告
2022-10-31 18:4:16 Author: 看雪学苑(查看原文) 阅读量:16 收藏

本文为看雪论坛优秀文章

看雪论坛作者ID:逆时针向左


样本HASH


基本信息

1、壳信息:无壳
2、关键API
3、没注意到什么关键字符串。


行为分析

1、注册表监控:

关键在设置 Environment\UserInitMprLogonScript 为 C:\Users\Reverse\AppData\Local\cdnver.bat 实现持久化。
2、文件监控

在 LOCALAPPDATA 目录下释放了两个文件:cdnver.dll 和 cdnver.bat;
cdnver.dll 的 MD5 为 AA2CD9D9FC5D196CAA6F8FD5979E3F14
bat 脚本内容为:start rundll32.exe "C:\Users\Reverse\AppData\Local\cdnver.dll",#1
3、进程监控

创建进程 rundll32.exe,加载释放的文件:cdnver.dll;

从行为监控中也可以看出(释放隐藏文件、隐秘执行):
4、网络监控
使用 FakeNet,捕获得域名 cdnverify.net,使用奇安信威胁分析平台查询:

可以确定该样本与 APT 组织有关。


详细分析

使用 IDA 打开后,停在 WinMain 处,x32dbg 的 Base 为 0x00EF1000,在 IDA 中 Rebase 为 0x00EF0000,则 WinMain 的地址为 0x00EF1ECF:


在 WinMain 中,连续调用了 sub_EF1DEF() 三次,该函数内有 XOR 等操作,猜测为字符串解密操作:


结合 x32dbg 可知:
第 1 次调用,解密字符串:SystemRoot\\SysWow64第 2 次调用,解密字符串:SystemRoot\\System32第 3 次调用,解密字符串:TEMP

因此,重命名 sub_EF1DEF() 为 decryptStr_sub_EF1DEF();之后调用函数 sub_EF12D3()。

4.1、sub_EF12D3 - 解密PE

连续两次调用 sub_EF1063()

4.1.1、sub_EF1063

查看 sub_EF1063() 内部代码后,猜测也是执行字符串解密操作:

结合 x32dbg 可知:
第 1 次调用,解密字符串:cdnver.dll第 2 次调用,解密字符串:LOCALAPPDATA
因此,重命名 sub_EF1063() 为 decryptStr_sub_EF1063();之后调用函数 sub_EF1000()。

4.1.2、sub_EF1000

内部代码看着也像是在进行解密操作,对 0x00F0B880 处的 0x59BD 字节的数据进行解密,解密后的数据如下,可以很明显地看到 4D5A:

解密出一个 PE 文件数据后,函数结束;sub_EF12D3() 分析完成,返回到 WinMain()。

4.2 sub_EF13F7 - 解压缩PE

连续两次调用 decryptStr_sub_EF1DEF(),解密字符串,可以看到是与解压缩有关的 API :RtlGetCompressionWorkSpaceSize 和 RtlDecompressBuffer;
注:RtlGetCompressionWorkSpaceSize 函数用于确定 RtlCompressBuffer 和 RtlDecompressBuffer 函数工作空间缓冲区的正确大小。
之后调用 LoadLibraryW 加载 ntdll,并调用 GetProcAddress 获取上述两个 API 的函数地址;

调用 RtlGetCompressionWorkSpaceSize 获取缓冲区大小,在调用 HeapAlloc 申请空间;

最后调用 RtlDecompressBuffer 对刚刚解密出的 PE 数据进行解压缩:

4.3、sub_EF155B - 释放DLL

4.3.1、sub_EF10CD

连续调用两次 decryptStr_sub_EF1DEF,解密得到字符串:SystemRoot 和 \\System32;

之后调用 GetEnvironmentVariableW 获取 LOCALAPPDATA 环境变量:

这里为:C:\\Users\\Reverse\\AppData\\Local,再将 "\cdnver.dll" 与之拼接得到了释放文件的目标路径:
C:\\Users\\Reverse\\AppData\\Local\\cdnver.dll

返回 sub_EF155B 继续执行;

4.3.2、sub_EF155B 继续执行

调用 LoadLibraryW 加载 Kernel32.dll,并获取 CreateFile 函数地址并调用,创建文件:

获取 WriteFile 函数地址并调用,把 PE 数据写入文件:

文件释放完成。

4.4、sub_EF264C - 权限维持

连续 7 次调用 decryptStr_sub_EF1DEF 进行字符串解密,得到:
rundll32.exe#1UserInitMprLogonScriptcdnver.dllEnvironmentLOCALAPPDATAcdnver.bat

调用 LoadLibraryW 加载 Advapi32.dll,并获取 RegOpenKeyExW 函数地址,并调用,其中 0x80000001 是 HKEY_CURRENT_USER:

获取环境变量,并判断:

从 ”cdnver.dll“ 中查找 ".",获取文件后缀:

之后确认只有一个 "." 出现。

4.4.1、sub_EF2030 - bat脚本

连续 6 次调用 decryptStr_sub_EF1DEF 解密字符串:
startLOCALAPPDATAcdnver.dll#1rundll32.execdnver.bat
调用 WideCharToMultiByte 将宽字符转为多字节字符;

调用 LoadLibraryW 加载 Kernel32.dll,_getenv 获取环境变量,获取 CreateFileA 的函数地址并调用创建文件
C:\Users\Reverse\AppData\Local\cdnver.bat:

构建脚本字符串 start rundll32.exe "C:\Users\Reverse\AppData\Local\cdnver.dll",#1,调用 WriteFile 将脚本写入 bat 文件。

返回 sub_EF264C 继续执行;
拼接构造字符串 C:\\Users\\Reverse\\AppData\\Local\\cdnver.bat,

调用 LoadLibraryW 加载 Advapi32.dll,获取 RegSetValueExW 函数地址,

设置注册表,使用 Logon Scripts 机制实现持久化:
Logon Scripts 机制:Windows允许在特定用户或用户组登录系统时运行脚本,也就是能使脚本优先于杀毒软件执行。
注册表设置前后对比:

4.5、sub_EF1707 - 执行dll

调用 _wcsstr 函数在 cdnver.dll 路径中查找 ".dll":

若找到子串,连续 3 次调用 decryptStr_sub_151DEF 解密字符串:
代码

4.5.1、sub_EF1D09

调用 OpenProcessToken、GetTokenInformation、GetSidSubAuthorityCount、GetSidSubAuthority 等 API 获取进程的 RID 信息:


x32dbg 中,RID = 0x2000,为中完整性:

返回 sub_EF1707 继续执行,将 eax(0x1) 与 3 比较,不等则跳转到 loc_EF1811 执行 shell 命令,之后返回:

若 sub_EF1707 返回值为 3,则继续执行 00EF17DE:

4.5.2、sub_EF1B02

首先会调用 sub_EF1957 函数:首先加载 AdvApi32.dll,获取 OpenProcessToken 的函数地址并调用;获取 LookupPrivilegeValue 的函数地址并调用,查看系统权限的特权值,第二个参数表示所要查看的特权信息的名称 SeSecurityPrivilege:

调用 AdjustTokenPrivileges 修改令牌权限,再调用 LookupPrivilegeValue,所要查看的特权信息的名称 SeTcbPrivilege:

最后再调用一次 AdjustTokenPrivileges 修改令牌权限。

提权完成,返回 sub_EF1B02。
调用 sub_EF1C3D 函数:通过调用 CreateToolhelp32Snapshot、Process32FirstW、Process32NextW 等 API 遍历进程,查找 explorer.exe 进程:

调用 OpenProcess、OpenProcessToken 等 API 获取 explorer.exe 进程的访问令牌句柄 TokenHandle,并作为结果返回:

在进行内存初始化后,调用 sub_EF18DC 函数,向内存中写入命令:

返回 sub_EF1B02。
加载 AdvApi32.dll,获取 CreateProcessAsUser 函数地址,并调用:
CreateProcessAsUser 函数创建一个新的进程及其主线程,其第三个参数为指向命令行字符串的指针,即:RunDll32.exe \"C:\Users\Reverse\AppData\Local\cdnver.dll\",#1
通常,调用 CreateProcessAsUser 函数的进程必须具有 SE_INCREASE_QUOTA_NAME 特权,并且如果令牌不可分配,则可能需要 SE_ASSIGNPRIMARYTOKEN_NAME 特权。
返回 sub_EF1707,进行内存释放等操作。

返回 _WinMain,最后调用 sub_EF18AD。

4.6、sub_EF18AD

调用 DeleteFileW 删除文件
综上,该样本的主要行为有:
  • 在 LOCALAPPDATA 目录下释放 dll 和 bat;

  • 修改注册表实现持久化;

  • 提权,加载执行 cdnver.dll。

[1]. Windows普通程序与服务程序的初始特权(Privileges)https://blog.csdn.net/Joal_zhu/article/details/7513858
[2]. [原创]【APT样本分析】APT28样本超详细分析https://bbs.pediy.com/thread-272043.htm#msg_header_h1_3
[3]. “奇幻熊”(APT28)组织最新攻击https://www.freebuf.com/articles/network/162715.html

- End -

看雪ID:逆时针向左

https://bbs.pediy.com/user-home-781904.htm

  *本文由看雪论坛 逆时针向左 原创,转载请注明来自看雪社区。

峰会回顾:https://mp.weixin.qq.com/s/eEbc8k8H9Pc2K0d_AHG3BA

# 往期推荐

球分享

球点赞

球在看

点击“阅读原文”,了解更多!


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458480122&idx=1&sn=2b6f4541ee1df402779618b4ba4b508c&chksm=b18e5d7086f9d4665a6eb127edd3422c559dfdd70e11906c41cf6e5d7b13bb0f0c41b9601ba6#rd
如有侵权请联系:admin#unsafe.sh