攻击组织代号Cold(River:通过NTA对恶意程序的深度分析-黑客接单平台)

作者:普京工作室
围观群众:39
更新于
攻击组织代号Cold(River:通过NTA对恶意程序的深度分析-黑客接单平台)

图1:空文档截图 第二个则是来自SUNCOR公司的合法人力资源文档,里边添加了歹意payload和VBA宏(图2)。

图2:来自SUNCOR公司的文档截图 在搜集有关回调域0ffice36o[.]com的开源情报时,咱们又发现了来自Twitter的潜在相关文档(参见图3),尽管不包括相同的payload,但这个Twitter帐户用户或许附加了过错的文档。

攻击组织代号Cold(River:通过NTA对恶意程序的深度分析-黑客接单平台)

图3:第三个文档的引证推文 表1中列出的时刻戳好像证明了Suncor文档是带payload的合法文档的假定,由于创立日期满足长,最终一次保存和进犯的时刻规模也相匹配。空文档很或许是用于测验宏或在与Suncor无关的环境中投递payload的。 SHA1 描述 创造时刻 最终保存时刻 1f007ab17b62cca88a5681f02089ab33adc10eec Empty doc 2019-10-05 07:10:00 2019-10-15 02:59:00 9ea865e000e3e15cec15efc466801bb181ba40a1 Suncor decoy 2012-06-07 18:25:00 2019-10-15 22:22:00 表1: Malicious documents and related metadata. 有关文档及其有用负载的时刻表,可参阅图4。 行为剖析 关于VBA宏,很根底但十分有用。宏分为两个部分,一个在文档翻开时履行,另一个在文档封闭时履行。实践payload不直接存储在VBA代码中,而是隐藏在文档中的表单里。 翻开Suncor文档时,用户有必要启用宏履行才干查看实践内容。也就是说答应宏履行关于一般的用户来说是合理的。仅有发生混杂的当地是运用了字符串衔接,例如“t”和“mp”,“Microsoft.XML”和“DOM”,“userp”和“rofile”等。 歹意宏包括一些根本的反沙箱代码,运用API Application.MouseAvailable查看核算机上是否有鼠标可用。总的来说,宏的逻辑如下: 文档翻开时: 1)查看Environ(“userprofile”).oracleServicessvshost_serv.exe是否存在 假如存在就退出;不存在则持续操作 2)假如Environ(“userprofile”).oracleServices不存在,则创立目录 3)读取UserForm1.Label1.Caption中存储的base64编码payload 4)解码并写进Environ(“userprofile”).oracleServicessvshost_serv.doc。 5)显现文档 文档封闭时: 1)把”svshost_serv.doc”重命名为”svshost_serv.exe” 2)创立一个命名为”chrome updater”的每分钟履行EXE文件的计划任务 最终一个值得重视的点是,设置计划任务的部分代码是从网上仿制而来的。 Payload与C&C通讯 咱们发现了两个相关的Payload,如表2所示,两者的差异在于其间一个有事情记载功用,这让咱们更简单确认歹意程序的目的,当然,也或许是前期开发的调试版别,像Suncor文档中的payload就没有记载功用。 SHA1 描述 编译时刻戳 1c1fbda6ffc4d19be63a630bd2483f3d2f7aa1f5 Payload with logs information 2019-09-03 16:57:26 UTC 1022620da25db2497dc237adedb53755e6b859e3 Payload without logs information 2019-09-15 02:31:15 UTC 表2: the Agent_Drable payloads. 在二进制文件中找到了一个风趣的字符串是“AgentDrable.exe”。这是PE头中的导出表里的DLL Name字段值,在这次进犯的其他部分(例如根底架构装备)也有呈现。咱们简直能够确定这是进犯者给程序的代号命名。不过,除了近期呈现在在线剖析平台上的少量提交以外,很少有依据能够证明是AgentDrable,因而还有一个假定是称之为”Elbard”。 两个样本的编译时刻戳也很风趣。咱们有必要充沛意识到时刻戳很简单被假造,可是,这些时刻戳能够在二进制文件的多个方位找到(调试目录,文件头),而且与进犯事情的其他部分保持一致。咱们把一切dropper和payload有用时刻戳都放在图4里。 [1][2][3]黑客接单网

攻击组织代号Cold(River:通过NTA对恶意程序的深度分析-黑客接单平台)

非特殊说明,本文版权归 鑫源观察网 所有,转载请注明出处.

本文分类: 趣味

本文标题: 攻击组织代号Cold(River:通过NTA对恶意程序的深度分析-黑客接单平台)

本文网址: http://xinyuanvet.com/quwei/1109.html

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

网站分类
搜索
最新留言
    标签列表