作者論壇賬號：yangruiqi

Kimsuky APT組織已經(jīng)由多個安全團隊進行了分析，它最早是由卡巴斯基研究人員于2013年發(fā)現(xiàn)，2019年半島地區(qū)攻擊活動頻繁。該組織位于朝鮮，攻擊對象主要是朝鮮相關(guān)的政治目標。結(jié)合歷史的攻擊記錄，推測Kimsuky更關(guān)注于朝鮮半島的政治外交問題，通常結(jié)合相關(guān)熱點事件向目標發(fā)起魚叉郵件攻擊，攻擊誘餌較多為hwp文檔。

2.?樣本概況
2.1??樣本信息
文件名：簡歷樣式.hwp.scr
大?。?156608bytes
MD5：47C95F19EBD745D588BB208FF89C90BA
SHA1：01172C3DAC99CAE246005752A6A66479D8861225
CRC32：39599F94
樣本于2020年2月28日在推特上被公布

2.2??測試環(huán)境及工具
運行平臺：Windows 7 X64?系統(tǒng)監(jiān)控工具：火絨劍調(diào)試工具：X64Dbg、IDA?Pro抓包軟件：WireShark

3. 執(zhí)行流程
3.1 功能簡述
該樣本是Kimsuky組織的一個遠控木馬,偽裝成Word文檔誘導(dǎo)受害者點擊,?啟動后會打開一個正常的文檔文件,?同一時間攻擊代碼也會運行.?為逃避殺毒軟件檢測,?樣本會經(jīng)過多次加載才執(zhí)行惡意模塊.?啟動較為隱蔽,?長久駐留在受害機中.?遠控后門具有執(zhí)行cmd,?下載執(zhí)行文件,?竊取文件信息等功能.

3.2 執(zhí)行流程概述

4.?載荷投遞
4.1文檔偽裝
攻擊使用的母體文件是可執(zhí)行程序，偽裝成Word文檔的SCR文件，誘導(dǎo)用戶點擊，而其真實的擴展名為exe

當用戶點擊這個偽裝成Word文檔的專用戶密碼后，木馬會在釋放攻擊代碼的同時，釋放一個真正的Word文檔

釋放的文檔是一個正常的文件，并未包含惡意代碼。Hwp文件是韓國主流的一種文檔編輯軟件生成的格式，韓國或使用韓文的群體使用，和Microsoft Office類似，但是文件需要使用相應(yīng)的文檔編輯器打開。

4.2第一階段投遞---釋放xxx.tmp.db
母體文件運行時，會在%Temp%目錄下釋放PE文件

啟動8584.tmp.db文件，進入第二階段投遞。臨時文件的文件名隨機，但路徑和擴展名不變

釋放并啟動批處理文件，清理母體木馬

4.3第二階段投遞---入侵explorer進程
一階段樣本自我復(fù)制，拷貝到WindowsDefender目錄下，偽裝成AutoUpdate.dll文件。由于WindowsDefender是微軟系統(tǒng)裝機自帶的殺毒引擎,使用戶誤認為木馬文件是系統(tǒng)更新文件

將自我復(fù)制的文件注冊開機自啟動項,在宿主機持久化駐留

尋找系統(tǒng)中的explorer進程,注入惡意代碼

調(diào)用注入dll的導(dǎo)出函數(shù),啟動explorer中的惡意模塊.進入第三階段投遞

釋放并運行批處理文件,清除第二階段的木馬文件

4.4第三階段投遞---隱秘執(zhí)行攻擊代碼
注入到explorer的代碼,會在該進程中申請一塊空間用于加載運行載荷文件

隨后跳轉(zhuǎn)到OEP,也即是DllMain部分執(zhí)行真正的惡意代碼

5.??載荷分析
5.1??功能簡介

首先樣本會創(chuàng)建一個線程來執(zhí)行惡意代碼

線程中主要有兩個功能,發(fā)送上線包和下載文件執(zhí)行后門模塊. 每隔15分鐘執(zhí)行一次

上線包部分放到后面講解

5.2??后門模塊
后門模塊接受控制指令方式與常見的后門不同, 樣本中在執(zhí)行控制指令前會先從CC端下載一個配置文件

文件在下載解密后, 數(shù)據(jù)體部分內(nèi)存分布如下

控制指令在執(zhí)行完后會發(fā)送回顯數(shù)據(jù)包, 并刪除下載的文件

后門主要功能如下圖所示

6.??網(wǎng)絡(luò)行為
6.1??上線包
攻擊中使用的域名是suzuki.datastore.pe[.]hu，以密文硬編碼形式存儲到文件中，運行過程動態(tài)解密

上線包每隔15min發(fā)送一次，包含的信息有機器的Mac地址與系統(tǒng)版本信息

6.2??下載文件
樣本中接收控制指令是通過下載文件的方式,?傳輸過程的文件是經(jīng)過加密后的密文.?因無法捕獲數(shù)據(jù)包，根據(jù)逆向分析推測下載文件數(shù)據(jù)格式如下，包含文件標識、校驗和等字段

解密方式為，密文數(shù)據(jù)逐字節(jié)Xor密鑰

6.3??通訊協(xié)議
樣本與CC端通訊使用均為HTTP協(xié)議，總共有4種不同的HTTP請求，每種請求對應(yīng)的功能如下??URL??功能??hxxp[:]//suzuki.datastore.pe.hu//?m=a&p1=000c29de8b55&p2=win_6.1.7601-x64_DROPPER??上線包??hxxp[:]//toyota.datastore.pe.hu//?m=b&p1=000c29de8b55&p2=a??上傳數(shù)據(jù)/返回CMD執(zhí)行結(jié)果??hxxp[:]//suzuki.datastore.pe.hu//?m=c&p1=000c29de8b55??下載指定文件??hxxp[:]//suzuki.datastore.pe.hu//?m=d&p1=000c29de8b55??執(zhí)行成功回顯數(shù)據(jù)

6.4??定點攻擊

樣本中與CC端的所有通訊,?都而在分析中,?虛擬機中的機器請求控制指令時無法下載文件.?推測木馬的控制端會根據(jù)mac地址下發(fā)不同的控制指令。
.?

為了成功攻擊目標.?該APT?組織應(yīng)該已經(jīng)通過信息收集獲取到指定機器的mac地址.?可能只有指定機器才能下載到控制指令文件會攜帶參數(shù)p1,?值的含義是機器的MAC地址

7.??溯源分析
CC檢索在這次攻擊中,樣本使用了兩個域名, 用來分別處理宿主機的請求下圖中的域名用于接收上線包, 下載控制指令文件, 接收執(zhí)行回顯

下圖中的域名用于接收宿主機上傳的文件信息等數(shù)據(jù)

兩個域名目前均可訪問,且指向同一IP地址

原文地址：https://www.52pojie.cn/thread-1331591-1-1.html