APT 蔓灵花样本分析

资讯作者：看雪学院 2022-11-06 22:44:41 阅读：295

本文为看雪论坛优秀文章

看雪论坛作者ID：戴夫的小推车

一

ATP简介

蔓灵花又名BITTER、APT-C-08、苦象、T-APT-17等称号，是一个据称有南亚背景的APT组织，具有强烈的政治背景，至少从2013年11月以来就开始活跃，一直未被发现，直到2016年才被国外安全厂商Forcepoint【2】首次披露。主要针对巴基斯坦、中国两国。其攻击目标为政府、电力、军工业相关单位，意图窃取敏感资料。

二


概述

样本是一个自解压文件，运行后在"C:\intel\logs"释放且运行真实样本（dlhost.exe）和诱饵文档（开证装期邮件.pdf）。样本运行后首先尝试能否与CC通信，通信成功后收集主机名、帐户名、当前系统信息、系统版本、Guid，将信息拼接后发送到CC并下载后续样本对机器进一步控制。

通过调研拓线找到通信后释放的其中一个样本（还有键盘记录等，但未下载到样本），该样本功能为将"C:\\Intel\\Logs\\audiodq.exe"写入注册表（audiodq.exe与dlhost.exe为同源样本）。

三

一阶样本

3.1）基础信息

表基础信息

样本运行后在"C:\intel\logs"释放且运行真实样本（dlhost.exe）和诱饵文档（开证装期邮件.pdf）。样本先尝试能否与CC通信，通信成功后收集主机名、帐户名、当前系统信息、系统版本、Guid，将信息拼接后发送到CC并下载后续样本对受控机进一步控制。

图自解压样本

图样本和诱饵文档释放

图诱饵文档正文

3.2）静态分析

样本首先解密字符串，获取配置文件。

图解密字符串示例

调用CreateSemaphoreA函数创建"7t56yr54r"互斥体。

图创建互斥体

尝试连接CC。

图尝试连接CC

在样本建立通信后，收集主机名、帐户名、当前系统信息、系统版本、Guid。

图信息收集

在通信成功后，将接收CC传输的文件，重命名为xxx.exe并调用函数"ShellExecuteA"执行后续样本。

图执行接收到的后续样本

3.3）动态分析

前期解密所需字符串获取通信目标"http://162.0.229.203/RguhsT/RguhsT/accept[.]php"等配置信息。

图解密配置信息

调用函数"GetComputerNameA"、"GetUserNameA"、"GetSystemInfo"以及查询注册表"Software\\Microsoft\\Cryptography"下的"MachineGuid"值，获取"software\\Microsoft\\Windows NT\\CurrentVersion"下的"ProductName"。