APT28樣本實例分析

這篇文章的內容主要圍繞APT28樣本實例分析進行講述，文章內容清晰易懂，條理清晰，非常適合新手學習，值得大家去閱讀。感興趣的朋友可以跟隨小編一起閱讀吧。希望大家通過這篇文章有所收獲！

一、 背景

奇幻熊組織又被人們稱為APT28，他是俄羅斯的間諜組織，2019年，奇幻熊組織的活動異常頻繁。從今年年初的智囊團入侵事件，到隨后的大小攻擊，都有APT28的身影。奇幻熊的歷史已經非常悠久，2016年，該組織因為入侵美國民主黨全國委員會的電子郵件，試圖影響美國總統(tǒng)大選而聞名于世。魚叉式網絡釣魚、0Day攻擊是該組織慣用的攻擊方法，并且他們使用的工具非常迅速的更新。在2015年一年中，使用了不少于6種不同的0Day漏洞，這是一個相當大的工程，需要大量安全人員在常用的軟件中尋找大量的未知漏洞。

本次樣本分析的樣本來自于我單位捕獲到的樣本數(shù)據(jù)，經過分析為Zepakab下載器。在此做一個簡單的分析，以窺探Zepakab的技術秘密。

二、樣本分析

首先，我們對樣本稍作分析就可以知道，該樣本使用了UPX加了一層殼，不過并沒有做更多的處理。使用UPX即可以正常將其解壓，生成正常的樣本。

在解壓后的樣本中，我們可以從資源RCData/SCRIPT中看到”AU3!”的字樣，并且在其代碼中可以看到一系列的證據(jù)，都可以表明，該樣本是由AutoIt編譯而來。AutoIt是使用類似BASIC的語言，主要用于設計和Windows圖形界面自動化交互的程序。使用這樣的語言來開發(fā)惡意程序，可以很容易的躲避殺毒軟件的檢測。

然后，我們將Zepakab中的AutoIt代碼反編譯，提取出其中的源碼。可以看到，”main”函數(shù)是Zepakab的主要例程。Zepakab的主要功能是不斷的在一個循環(huán)中獲取系統(tǒng)信息，截取屏幕快照，發(fā)送給服務器。并且在需要的時候下載惡意樣本駐留在系統(tǒng)中。

系統(tǒng)信息的收集是在”info”函數(shù)內完成的，info調用了”_computergetoss”函數(shù)?！盻computergetoss”使用了Windows管理規(guī)范(WMI)的AutoIt接口，使用了查詢語句”SELECT * FROM Win32_OperatingSystem”來查詢系統(tǒng)信息。

該惡意軟件通過下面的scr函數(shù)將桌面屏幕快照保存到”％TEMP％\ tmp.jpg”中。

在從服務器上下載了有效負載后，Zepakab會將它同過”crocodile”函數(shù)保存到”C:\ ProgramData\Windows\Microsoft\Settings\srhost.exe”中。

除了上述的一些主要功能外，Zepakab還有一些比較只能化的功能。例如反虛擬機，它會查找一些當前比較重要的虛擬機文件、進程以及通過特別算法計算的標識，從而實現(xiàn)虛擬機逃逸。

此外，”_sofware”函數(shù)通過注冊表

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall"

解析已安裝的軟件。同時通過systeminfo系統(tǒng)命令輸出系統(tǒng)信息，并檢索進程并將其納入到系統(tǒng)信息中。

這份代碼，并沒有使用復雜的混淆技術，所以可以輕松的看到Downloader的服務器地址是185.236.203.53，uri是”locale/protocol/volume.php”。Downloader使用HTTP方式和服務器通信，并且使用base64編碼和加密的方式發(fā)送和接受數(shù)據(jù)。

Zepakab在整個2019年是異?；钴S的，雖然其開發(fā)方式非常簡單，但是其危害程度并不低，而且APT28組織也異?？焖俚馗滤麄兊奈淦?。正因為簡單的開發(fā)方式，其更新速度才得以更快。奇幻熊仍然更多地使用他們慣用的方法，魚叉式攻擊，0Day漏洞等等。在這種低成本的開發(fā)方式下，奇幻熊組織得以更有效地進行他們的網絡攻擊。

感謝你的閱讀，相信你對“APT28樣本實例分析”這一問題有一定的了解，快去動手實踐吧，如果想了解更多相關知識點，可以關注億速云網站！小編會繼續(xù)為大家?guī)砀玫奈恼拢?/p>