PatchWorkAPT分析

前提是你 提交于 2020-07-28 08:47:55

PatchWorkAPT分析

  PatchWorkAPT是一个比较有意思的名字,源于该组织武器库是基于开源的代码拼凑而成(地下论坛、暗网、github等等),组织主要目标是美国军事和政治机构,曾被赛门铁克、卡巴多次对组织Attack活动披露。
  组织善用于office_cve武器库,从奇安信github收录以往的样本统计中来看,office_cve通杀漏洞占据了主导地位。
PatchWorkAPT分析

  以往的套路,通过漏洞进行提权和载荷的释放,利用msf进行回连,这里不做累述,有好的文章可以参考套路如下链接,本篇文章主要分析C2样本功能:
https://www.freebuf.com/articles/network/108637.html








➬ IOCs:

Column 1 Column 2
文件名 0f4f6913c3aa57b1fc5c807e0bc060fc
大小 195072 bytes
MD5 0f4f6913c3aa57b1fc5c807e0bc060fc

➬ 样本分析:

➀ 图中url并非是组织服务端,而是用来测试通信是否有网络连接。
PatchWorkAPT分析
PatchWorkAPT分析

➁ 动态的获取函数地址,如下所示:
PatchWorkAPT分析






➂ http报文截获,如下所示:
PatchWorkAPT分析

PatchWorkAPT分析

↪ 动作一:

➃ 采集系统信息,主机名,uudi,系统版本等,如下所示:
PatchWorkAPT分析

➄ CreateThread感染分发,其中循环体中CreateThread不停分发感染线程:
PatchWorkAPT分析

➅ 405BC0线程回调会在Temp临时目录下释放文件,如下所示:
PatchWorkAPT分析








➆ 创建窗口,注册的窗口类中会包含窗口回调,用来嵌套恶意线程,线程用于初始化保存数据配置本地文件,如下所示:
PatchWorkAPT分析


↪ 动作二:

➇ 分发线程,初始化窃取数据配置文件,不同数据采集本地创建不同文件保存,如下采集系统文件名列表:
PatchWorkAPT分析


遍历全部磁盘,记录后缀xls/xlsx/pdf/docx.pptx绝对路径保存至edg499.dat文件中。
PatchWorkAPT分析


➈ 循环中分发感染线程回调函数是一样的,如下所示:
PatchWorkAPT分析




➬ C2:

➯ 初始化配置:

➚ POST报文初始化:

POST //e3e7e71a0b28b5e96cc492e636722f73//4sVKAOvu3D//ABDYot0NxyG.php HTTP/1.1..HOST: ..User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:44.0) Gecko/20100101 ..Accept: application/x-www-form-urlencoded..Content-Type: application/x-www-form-urlencoded..Cache-Control: no-cache..Content-Length: 52....eI4=gLTB0mmwj6I8+jzh1sVD89McJO&zFi=iBjLOA==&crc=e3a6

PatchWorkAPT分析

➚ Socket配置初始化
PatchWorkAPT分析
PatchWorkAPT分析

➚ 分解服务端返回的指令报文,指令功能执行:
PatchWorkAPT分析










➯ 功能模块:

➀ 截屏操作:
PatchWorkAPT分析

➁ 利用ShellExecuteW执行恶意文件:
PatchWorkAPT分析





➂ 文件下载和执行:
PatchWorkAPT分析


➬ 情报分析:

  PatchWork作为拼凑武器库,当少不不了优秀的RAT如鹰眼Keylogger,鹰眼中提取邮箱账号/密码,包括有样本中包含ftp账号密码,可以使我们获取更多的情报信息,因为这些样本都是历史了,这里不在多扩展分析。
Patchwork_KeyLogger_IOCs: 8dad164966fb17c3c1f3e068c73080e0

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!