最近有人私我有没有sidewinderAPT素材样本分析,这里有一份分析笔记,贴博客了。博客好久没更新,有在其它平台分享知识,博客后续也会同步过来。
➬ 诱饵分析:
① lnk欺骗点击,诱饵名”Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus”,提取url如下,黑加白利用:
②下载js恶意文件,经过了大量混淆和加密如下图所示:
③ 标签类型浏览器嵌入执行,ActiveXobject标识对象支持IE6~IE8版本。修改js脚本,执行恶意代码记录污染的生命周期,经历了三个阶段:
3.1数据解密
3.2 创建对象,枚举文件找c#环境,遍历进程,获取系统杀软与版本信息
3.3 下载file.hta,诱饵文档.pdf
➬ file.hta分析
④ 内存中调用加载器.Net程序,work方法执行x,y参数,提取stinstller.exe和x,y变量,分析如下:
⑤ 内存中解密,OD附加提取Stinstaller,如下所示:
⑥ Stinstaller.exe分析:
Stinstaller感染过程经历以下阶段:
1.环境变量(用于释放使用)
2.注册表自启动持久化
3.创建目录 c:\progarmData\xxxx
4. 内存中解密Duer.dll,NqrvhJ4.tmp(dll),rekeywiz.exe和配置文件,写入文件夹中。
⑦ rekeywiz.exe加载Duser进行c2下载,解密加载。
➬ NqrvhJ4.tmp分析
核心目标数据窃取和上传
1.初始化配置信息,用来指定窃取文件类型和上传目录等配置:
2.GetTimerCallback下载指定Url文件
3.窃取文件,保存在固定文件夹下,文件后缀随机字符+特定字符串
4.采集系统数据,文件重命名指定后缀.sif
5.PostTimerCallback用于上传指定文件
6.更新注册表中解密数值,从注册表HKCU\Sotfware\Authy读取解密配置,遍历文件找到特定的文件,配置信息加密后保存到注册表中。
7.标识指定后缀指定类型
| 后缀 | 文件数据 |
|---|---|
| .sif | sysInfo |
| .flc | fileListing |
| .fls | fileSelection |
| .err | errorReport |
8.上传注册表中指定后缀的文件,gzip全压缩上传
9.json字段填充标识
| 字段 | 解析 |
|---|---|
| filePath | 命名后的文件名及后缀 |
| Complete | 文件传送情况 |
| sentOffset | 文件上传的数据大小 |
➬ 情报:
从诱饵文档可知主题仍与巴基斯坦相关,SideWinder与巴基斯坦安全长久以来保持安全对抗关系。19年开始SideWinder对我国政府教育等机构展开了趋势,意图窃取敏感信息.
➬ IOCs:
3c9f64763a24278a6f941e8807725369
120e3733e167fcabdfd8194b3c49560b
7442b3efecb909cfff4aea4ecaae98d8
40fd59323c3883717faca9424b29b9aa