gamaredon_Gamaredon组织某样本分析
0x01 Запит СБУ.docx文档分析
打开文档后,远程注入模板:
文档内容如下:
翻译后内容如下:
由图标也可以看出:
0x02 opt.dot模板分析
模板启用了宏,通过olevba.py导出后分析。
获取主机ComputerName及系统磁盘SerialNumber,并通过_拼接:
拼接URL及路径,后续的VBS脚本中会用到:
于启动目录新建一security.vbs:
余下所有都是向该VBS写入内容,不再赘述:
0x03 security.vbs分析
监测沙箱(如果沙箱跑25s,那么它此处延时就能达到反沙箱的目的):
余下部分结构如下(其中红色方框部分经过处理):
下面逐一进行分析。
将其响应作为函数返回值。
随机QopZ个字符返回,用于后面的文件命名。
上图是Encode()函数主要功能。第一个参数FCkE是文本文件,内容CZeq()函数返回;第二个参数BGmO是要写入的EXE文件; msKq是GetHKcc()函数返回的数组。该函数功能是将TXT文件内容经过异或操作之后写入EXE文件。
将传递给该函数的字符串中每个字符的ASCII码写入一数组返回。
该Sub功能是将参数内容写入TXT文件(即CZeq()函数返回值),并判断大小:若小于1025,则删除该文件。之后调用Encode函数,将TXT文件内容写入EXE文件。如EXE文件存在,则于启动目录创建一VBS,内容如下(红色方框部分经过处理):
循环前半部分功能见前文。后半部分是判断EXE文件数量,大于2则使用WMI重启,以达到执行启动目录内EXE文件的目的。
0x04 启动目录内EXE文件分析
实际是一SFX文件,其中包含如下文件:
0x04.1 8957.cmd
文件内容如下:
去混淆后:
28847同样是一SFX文件,“ppfljk,fkbcerbgblfhs”是其解压密码。
0x04.2 28847.exe分析
输入密码,解压后如下:
0x04.3 6323.exe分析
.NET程序,使用dnSpy分析。结构如下:
其中有大量如下特征混淆代码:
去混淆后分析。各函数功能及调用关系如下:
BatJwAk()函数是将传递参数(以:分隔的十六进制ASCII码)转换为对应的字符串形式。
Main()函数于一循环中调用CYIxJzc()遍历10.0-17.0各个版本的Word、Excel注册表项。之后CYIxJzc()调用BcNIQrU()修改相应键值:
jYRcuEu()函数通过计算达到延时目的:
之后Main()调用cztXiVD(),遍历非系统盘下文件:
llpJYEs()首先读取路径存放宏代码的TXT文件:
之后判断文件是否符合指定条件(非系统文件,扩展名包括.doc/.xls):
llpJYEs()之后调用zrdMiQo(),复制文件内容到一新文件(新文件名称比原文件多一空格)后删除原文件,并将新文件复制到原目录下:
zrdMiQo()之后调用cBtQGAf()函数向新文件内写入宏。该函数根据传递的第四个Bool参数值执行相关的写入宏代码,True:
False:
cBtQGAf()函数在执行写入操作之前会调用hXblmtN()函数Kill "EXCEL"、"WINWORD"进程:
0x04.4 wordMacros.txt分析
两份宏代码不同之处只有如下3点:
其余不同点只是字符串拼接方式的不同,故只分析其中之一。
功能大体与opt.dot模板内宏代码相同,但是增添了修改注册表功能:
不同的URL:
创建一VBS,其功能是设置定时任务:
余下代码是于%AppData%\Microsoft\Office目录下创建IndexOffice.vbs文件,并写入内容,该VBS功能与security.vbs功能近似,不再赘述。
0x05 Hashes && URL
Запит СБУ.docx:C0DC0C23E675D0C380E243FB36EE005E
opt.dot:689FAB7A016DAE57300048539A4C807E
107010D9E4FF8436F872F17A2B13BBE4
AF19975E1450D0CA7C4533F11D5E67D2
4286A15469AE50182CEA715ED6FA4109
gamaredon_Gamaredon组织某样本分析相关推荐
- [系统安全] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- APT样本分析 -plugx家族RAT⽊⻢
APT样本分析 - plugx家族RAT⽊⻢ ⼀.样本概述 样 本 从 海 莲 花 服 务 器 扒 下 来 的 ( 经 提 醒 修 改 , 原 先 错 误 归 类 为 海 莲 花 ) , wsc_pr ...
- CVE-2014-6352漏洞及定向攻击样本分析
360安全卫士 · 2016/06/15 11:06 Author:360天眼实验室 0x00 引子 人在做,天在看. 近期360天眼实验室捕获到一例针对印度的定向攻击样本,样本利用了沙虫漏洞的补丁绕 ...
- MuddyWater APT 样本分析
本文分析的样本被认为来自于攻击目标为中东地区的一个APT组织,即MuddyWater.像往常一样,您可以从VirusBay下载该样本,这也是我最喜欢下载新的恶意软件样本的地方,而且下载是免费的.下面我 ...
- 一例针对中国政府机构的准APT攻击中所使用的样本分析
SwordLea · 2015/05/28 15:43 作者:安天 微信公众号:Antiylab 博文地址:http://www.antiy.com/response/APT-TOCS.html 0x ...
- R语言回归模型构建、回归模型基本假设(正态性、线性、独立性、方差齐性)、回归模型诊断、car包诊断回归模型、特殊观察样本分析、数据变换、模型比较、特征筛选、交叉验证、预测变量相对重要度
R语言回归模型构建.回归模型基本假设(正态性.线性.独立性.方差齐性).回归模型诊断.car包诊断回归模型.特殊观察样本分析.数据变换.模型比较.特征筛选.交叉验证.预测变量相对重要度 目录
- CVE-2010-2883 从漏洞分析到样本分析
本文章将从漏洞利用分析开始,到样本分析结束,其中涉及到的知识点有PDF格式.TTF字体格式.缓冲区溢出漏洞利用.PE文件格式.软件脱壳和恶意代码分析.其中会演示一些基本操作,方便初学者进行复现. 前置 ...
- Android版本的Wannacry文件加密病毒样本分析(附带锁机)
一.前言 之前一个Wannacry病毒样本在PC端肆意了很久,就是RSA加密文件,勒索钱财.不给钱就删除.但是现在移动设备如此之多,就有一些不法分子想把这个病毒扩散到移动设备了,这几天一个哥们给了一个 ...
- 新变种Emotet恶意样本分析
样本信息 表1.1 样本信息表 文件 1.doc 大小 190976 字节 修改时间 2021年12月2日, 10:30:02 MD5 2EFBE18F2ED8AE0D4648B68596DFA0 ...
最新文章
- Numpy掩码数组masked arrays,这一篇就够了
- android底部滑出view,Android CoordinatorLayout与NestedScrollView基于Behavior几行代码实现底部View滑入滑出...
- Velocity(2)——引用
- ORA-16629: database reports a different protection
- 华为北大等联手打造的Transformer竟在CV领域超过了CNN:多项底层视觉任务达到SOTA...
- elasticsearch的增删改查
- adb shell 命令详解,android, adb logcat
- php常用操作数组函数,PHP自带的几个实用的数组函数
- uva-10305-水题-拓扑排序
- 糖豆人维修服务器多长时间,服务器不稳定的《糖豆人》凭啥还这么火?只因做到了这三点...
- 前端小知识点(6):听了好多闭包,这次可能最懂
- 使用SQL数据库在Python中进行CRUD操作
- 【零基础学Java】—System类(三十五)
- NoSQL精粹pdf
- 通过Chrome浏览器检测和优化页面
- 五子棋人机对战_10.带人机对战的五子棋程序
- Python 全栈打造某宝客微信机器人
- 咱们的课程里,有微信的这种菜单示例吗?---酷课堂iOS交流群问答整理(201810期)
- POJ3080 基本字符串库函数的应用 ..Brute Force/朴素模式匹配算法
- java移除字符串中的表情符