NBを使用してAPTサンプル分析は、キットの攻撃をエクスプロイト
最近では、高リスクの警告で見つかったネットワークに展開APT脅威分析機器アーネムのエンジニアは、警告は、サンドボックスの増加ランタイム環境では最初から含まれてより多くの不審な行動を含み、ネットワークソケット接続を作成し、読みネットワークファイル、ディスクのコレクション情報は、現在のユーザ名情報やその他の機密性の高いコンテンツを取得し、分析を通じてサンプルをダウンロードするには、元のメッセージのリンクはおそらくすることができた、警報の内容の予備的な分析の後、大きな疑わしいがあることがわかりました(また、ハング馬の攻撃と呼ばれる)ウェブ・オーバーフロー攻撃の一種。
2、分析
感染プロセス
その後、さらにアラームページ解析「のindex.htm」をダウンロードするためのツールを使用したことRESプロトコルの使用(「RES://」)ローカルファイルを検出するため。
ターゲットの検出が含まれます:金山360カスペルスキーを
コンピュータのユーザーがソフトウェアをインストールしていない場合は、ブラウザが1と呼ばれる「win.html」ページをロードします
分析「win.html」
コードをダウンロードした後、すべての頭痛の種を探して、それが暗号化を混乱発見されました。
コードのフォーマット、分析及びページのuserAgent上で実行判定処理をクロールするクローラを防止することが見出され、そして複数の感染を防止するために、クッキーは、特定の値を設定します。
これは、一般的内部より古典Exploitkit(オーバーフローキット)であり、コード、おそらくNB又はCKExploitキットにおける疑わしい「NBのVIP」文字列を発見しました。
分析を続行し、彼らには非常に有名なピンイン「woyouyizhixiaomaol」、「conglaiyebuqi」で見つかったjarファイルを呼び出し、それは、Javaの異なるバージョンに対する攻撃が含まれていることがわかりました。それは、「私は私が乗ることはありません少しロバを持っている。」であり、
そして、逆コンパイルジャーパッケージにも同様の情報が含まれています。
另外还有针对Flash、Silverligh、IE各个版本的不同Payload攻击,但是笔者在下载时链接无效,不能正常下载。
分析整个代码流程,笔者做了一个流程图:
最后溢出成功后会下载叫“calc.exe”的恶意文件并运行。
在虚拟机中使用浏览器打开恶意页面,并用抓包工具进行抓包,重现了整个过程:
但是抓包的结果显示它还下载了其他的exe程序,所以笔者对下载的程序进行分析。
恶意程序calc.exe分析
分析发现calc.exe主要的功能是使用wmi技术收集用户电脑信息,并发送远程服务器进行统计
读取远程配置文件,下载配置文件中恶意程序并运行。
这个过程和我们抓包看见的结果一样。
分析iexplore.exe
这个木马运行后,它会在内存解密出一段加密url,其实ip就是恶意域名解析后的ip地址
备注:在网址“<|>”之后都是exe程序,它们每个存在服务器上。
接着它会每秒钟检索进程,判断是否存在和解密数据中一样的程序,如果存在,便拼接url后下载程序并运行。即:
url中的程序都是各种游戏的盗号木马。总类比较多,大概有40多个,基本都加壳处理,且每个恶意程序运行后还会释放文件。
盗号的方式各种各样,这里拿恶意的QQ.exe简单程序举例。
假的QQ.exe运行后会关闭正在运行的qq,并从百度图片下载一张伪装的QQ登入截图
通过创建假的qq登入节目进行欺骗攻击
最后把用户输入的qq号和密码发送到如下恶意地址:http://14.***.***.227:8***/xx/fen/ly01/lin.asp
分析smss.exe
它是一个vb的程序,运行后它会收集用户电脑信息,并从链接某mssql数据库,使用sql语句读取远程服务器数据(url),并下载运行。
由于程序硬编码了的用户名和密码,笔者使用工具成功登入了这台数据库服务器:
数据库里存的数据是恶意url和统计url,这样与我们分析的结果相符合。
总结
经过安恒研究团队发现所有样本都存在大量中文编码可以肯定是一起国内团伙所为。在APT攻击趋势越来越普及化的今天,当前网络中面临大量的复杂安全威胁,比如一些新型恶意代码溢出等,这些威胁对于传统的防火墙、杀毒软件都很难有效识别,因此必须采用专用的APT威胁分析产品来弥补传统安全产品的缺陷,及时感知和分析当前网络中存在的各种新型威胁。