溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

怎么實現(xiàn)APT28樣本分析

發(fā)布時間:2022-01-18 15:30:23 來源:億速云 閱讀:141 作者:柒染 欄目:網(wǎng)絡(luò)安全

怎么實現(xiàn)APT28樣本分析,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學(xué)習(xí)下,希望你能有所收獲。

 1 背景

奇幻熊組織又被人們稱為APT28,他是俄羅斯的間諜組織,2019年,奇幻熊組織的活動異常頻繁。從今年年初的智囊團入侵事件,到隨后的大小攻擊,都有APT28的身影。奇幻熊的歷史已經(jīng)非常悠久,2016年,該組織因為入侵美國民主黨全國委員會的電子郵件,試圖影響美國總統(tǒng)大選而聞名于世。魚叉式網(wǎng)絡(luò)釣魚、0Day攻擊是該組織慣用的攻擊方法,并且他們使用的工具非常迅速的更新。在2015年一年中,使用了不少于6種不同的0Day漏洞,這是一個相當(dāng)大的工程,需要大量安全人員在常用的軟件中尋找大量的未知漏洞。

本次樣本分析的樣本來自于我單位捕獲到的樣本數(shù)據(jù),經(jīng)過分析為Zepakab下載器。在此做一個簡單的分析,以窺探Zepakab的技術(shù)秘密。

2 樣本分析

首先,我們對樣本稍作分析就可以知道,該樣本使用了UPX加了一層殼,不過并沒有做更多的處理。使用UPX即可以正常將其解壓,生成正常的樣本。

 怎么實現(xiàn)APT28樣本分析

在解壓后的樣本中,我們可以從資源RCData/SCRIPT中看到”AU3!”的字樣,并且在其代碼中可以看到一系列的證據(jù),都可以表明,該樣本是由AutoIt編譯而來。AutoIt是使用類似BASIC的語言,主要用于設(shè)計和Windows圖形界面自動化交互的程序。使用這樣的語言來開發(fā)惡意程序,可以很容易的躲避殺毒軟件的檢測。

 怎么實現(xiàn)APT28樣本分析

 怎么實現(xiàn)APT28樣本分析

然后,我們將Zepakab中的AutoIt代碼反編譯,提取出其中的源碼??梢钥吹?,”main”函數(shù)是Zepakab的主要例程。Zepakab的主要功能是不斷的在一個循環(huán)中獲取系統(tǒng)信息,截取屏幕快照,發(fā)送給服務(wù)器。并且在需要的時候下載惡意樣本駐留在系統(tǒng)中。

 怎么實現(xiàn)APT28樣本分析

系統(tǒng)信息的收集是在”info”函數(shù)內(nèi)完成的,info調(diào)用了”_computergetoss”函數(shù)?!盻computergetoss”使用了Windows管理規(guī)范(WMI)的AutoIt接口,使用了查詢語句”SELECT * FROM Win32_OperatingSystem”來查詢系統(tǒng)信息。

 怎么實現(xiàn)APT28樣本分析

 怎么實現(xiàn)APT28樣本分析

該惡意軟件通過下面的scr函數(shù)將桌面屏幕快照保存到”%TEMP%\ tmp.jpg”中。

怎么實現(xiàn)APT28樣本分析

在從服務(wù)器上下載了有效負載后,Zepakab會將它同過”crocodile”函數(shù)保存到”C:\ ProgramData\Windows\Microsoft\Settings\srhost.exe”中。

 怎么實現(xiàn)APT28樣本分析

除了上述的一些主要功能外,Zepakab還有一些比較只能化的功能。例如反虛擬機,它會查找一些當(dāng)前比較重要的虛擬機文件、進程以及通過特別算法計算的標(biāo)識,從而實現(xiàn)虛擬機逃逸。

 怎么實現(xiàn)APT28樣本分析

此外,”_sofware”函數(shù)通過注冊表

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall"

解析已安裝的軟件。同時通過systeminfo系統(tǒng)命令輸出系統(tǒng)信息,并檢索進程并將其納入到系統(tǒng)信息中。

 怎么實現(xiàn)APT28樣本分析

這份代碼,并沒有使用復(fù)雜的混淆技術(shù),所以可以輕松的看到Downloader的服務(wù)器地址是185.236.203.53,uri是”locale/protocol/volume.php”。Downloader使用HTTP方式和服務(wù)器通信,并且使用base64編碼和加密的方式發(fā)送和接受數(shù)據(jù)。

 怎么實現(xiàn)APT28樣本分析

怎么實現(xiàn)APT28樣本分析

3 總結(jié)

Zepakab在整個2019年是異?;钴S的,雖然其開發(fā)方式非常簡單,但是其危害程度并不低,而且APT28組織也異??焖俚馗滤麄兊奈淦?。正因為簡單的開發(fā)方式,其更新速度才得以更快。奇幻熊仍然更多地使用他們慣用的方法,魚叉式攻擊,0Day漏洞等等。在這種低成本的開發(fā)方式下,奇幻熊組織得以更有效地進行他們的網(wǎng)絡(luò)攻擊。

看完上述內(nèi)容是否對您有幫助呢?如果還想對相關(guān)知識有進一步的了解或閱讀更多相關(guān)文章,請關(guān)注億速云行業(yè)資訊頻道,感謝您對億速云的支持。

向AI問一下細節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI