PatchWorkAPT分析
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了PatchWorkAPT分析相关的知识,希望对你有一定的参考价值。
?
??PatchWorkAPT是一个比较有意思的名字,源于该组织武器库是基于开源的代码拼凑而成(地下论坛、暗网、github等等),组织主要目标是美国军事和政治机构,曾被赛门铁克、卡巴多次对组织Attack活动披露。
??组织善用于office_cve武器库,从奇安信github收录以往的样本统计中来看,office_cve通杀漏洞占据了主导地位。
?
??以往的套路,通过漏洞进行提权和载荷的释放,利用msf进行回连,这里不做累述,有好的文章可以参考套路如下链接,本篇文章主要分析C2样本功能:
https://www.freebuf.com/articles/network/108637.html
?
? IOCs:
Column 1 | Column 2 |
---|---|
文件名 | 0f4f6913c3aa57b1fc5c807e0bc060fc |
大小 | 195072 bytes |
MD5 | 0f4f6913c3aa57b1fc5c807e0bc060fc |
?
? 样本分析:
? 图中url并非是组织服务端,而是用来测试通信是否有网络连接。
?
? 动态的获取函数地址,如下所示:
?
? http报文截获,如下所示:
?
? 动作一:
? 采集系统信息,主机名,uudi,系统版本等,如下所示:
?
? CreateThread感染分发,其中循环体中CreateThread不停分发感染线程:
?
? 405BC0线程回调会在Temp临时目录下释放文件,如下所示:
?
? 创建窗口,注册的窗口类中会包含窗口回调,用来嵌套恶意线程,线程用于初始化保存数据配置本地文件,如下所示:
?
? 动作二:
? 分发线程,初始化窃取数据配置文件,不同数据采集本地创建不同文件保存,如下采集系统文件名列表:
?
遍历全部磁盘,记录后缀xls/xlsx/pdf/docx.pptx绝对路径保存至edg499.dat文件中。
?
? 循环中分发感染线程回调函数是一样的,如下所示:
?
?
? C2:
? 初始化配置:
? POST报文初始化:
POST //e3e7e71a0b28b5e96cc492e636722f73//4sVKAOvu3D//ABDYot0NxyG.php HTTP/1.1..HOST: ..User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:44.0) Gecko/20100101 ..Accept: application/x-www-form-urlencoded..Content-Type: application/x-www-form-urlencoded..Cache-Control: no-cache..Content-Length: 52....eI4=gLTB0mmwj6I8+jzh1sVD89McJO&zFi=iBjLOA==&crc=e3a6
?
? Socket配置初始化
?
? 分解服务端返回的指令报文,指令功能执行:
?
?
? 功能模块:
? 截屏操作:
?
? 利用ShellExecuteW执行恶意文件:
?
? 文件下载和执行:
?
? 情报分析:
??PatchWork作为拼凑武器库,当少不不了优秀的RAT如鹰眼Keylogger,鹰眼中提取邮箱账号/密码,包括有样本中包含ftp账号密码,可以使我们获取更多的情报信息,因为这些样本都是历史了,这里不在多扩展分析。
Patchwork_KeyLogger_IOCs: 8dad164966fb17c3c1f3e068c73080e0
以上是关于PatchWorkAPT分析的主要内容,如果未能解决你的问题,请参考以下文章
Android 事件分发事件分发源码分析 ( Activity 中各层级的事件传递 | Activity -> PhoneWindow -> DecorView -> ViewGroup )(代码片段
Android 插件化VirtualApp 源码分析 ( 目前的 API 现状 | 安装应用源码分析 | 安装按钮执行的操作 | 返回到 HomeActivity 执行的操作 )(代码片段