欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

指向欧洲和亚洲很多国家的某个APT网络攻击事件的研究报告

来源:本站整理 作者:佚名 时间:2017-09-18 TAG: 我要投稿

图8  钓饵文档3
四、样本阐发
1.母体文件阐发
a. 此中一个破绽漏洞bug文档信息如表1所示:
表1  破绽漏洞bug文档信息

应用方法应用破绽漏洞bugCVE-2015-1641
开释的PE文件Hashc7e81606e37d9c8****5fd86a7de6995
该文档所应用的破绽漏洞bug为CVE-2015-1641,入侵攻击者应用的破绽漏洞bug应用代码是通用的文件型绑缚shellcode,这套应用的特色是两段shellcode,第一段shellcode功效负责将从文件数据中读取shellcode_2,创立可履行内存地区,将shellcode_2拷贝至目的内存,第二段shellcode_2才是真正的黑客恶意代码功效履行部分,这类做的利益是shellcode_2可以或许足够用长。图9为第一段shellcode。
 

图9  第一段shellcode开端地位
第一段shellcode分派内存空间,将真正的黑客恶意shellcode复制到分派的空间内,并跳至第二段shellcode并履行。如图10所示,
 

图10  跳至第二段shellcode
下图为第二段shellcode进口,
 

图11  第二段shellcode开端地位
第二段shellcode紧张运转流程演绎为如下四点:
1、暴力搜刮有用文件句柄,经由过程婚配特性来肯定能否为本身文件;
2、肯定本身文件后,经由过程文件句柄将文件映照至内存;
3、经由过程指定偏移来定位绑缚数据,并开释绑缚数据到指定目次;
4、末了运转开释文件。
 

图12  第二段shellcode开释PE反汇编代码
将开释PE的反汇编代码停止复原后,部分C代码如下:
 

图13  复原后的部分C代码
b、此中一个黑客恶意宏代码文档信息如下,如表2所示。
表2  黑客恶意宏代码文档信息

该样本紧张经由过程宏代码来开释PE文件并增加自启动用于履行。
以上两种方法都是为了开释黑客恶意PE,开释的PE功效险些同样。前面重点阐发宏开释的PE文件。
2.开释PE文件阐发
该样本加载后,起首创立一个互斥体{5A419JHS3-5LHG867LS0347},免得屡次运转。

图14 创立互斥体
衔接远端地点(http://45.xx.xx.160/9EkCWYA3OtDbz1l.dat)下载文件
 

图15 下载黑客恶意文件
末了经由过程异或解密开释的PE文件,并经由过程rundll32履行dll(md5: bffc3e2b7382d0****7440cabbd7b1ba)中的ServiceMain导出函数。
 

图16 履行黑客恶意文件
3.远端下载PE文件阐发
该样本为DLL文件,且有32位和64位版本。此中ServiceMain都为核心功效函数,32位版本导出函数如下:
 

图17 32位导出函数
64位版本如下:
 

图18 64位导出函数
在ServiceMain中创立线程履行核心功效代码,先解密出C&C地点并衔接
 

 

图19 C&C地点
而后轮回和服务器通信并依据分歧的敕令履行相应的操纵,紧张功效如表3所示。

上一页  [1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载