APT36基本情況整理及樣本分析記錄
一 基本情況
其活動可以追溯到2012年,攻擊手法:帶有嵌入宏的惡意文檔。透明部落始終使用誘人的文檔和文件名(通常稱為蜜陷阱)來誘騙受害者在其端點上執行惡意內容。
武器:
1、主要惡意軟件是一種公開稱為 Crimson RAT 的自定義 .NET RAT
2、其他自定義 .NET 惡意軟件
3、一種稱為 Peppy 的基于 Python 的 RAT
Transparent Tribe, COPPER FIELDSTONE, APT36, Mythic Leopard, ProjectM, Group G0134 | MITRE ATT&CK?
Crimson依賴于額外的模塊負載來進一步豐富其特性集。這些模塊包括鍵盤記錄、瀏覽器憑證竊取、自動搜索和竊取可移動驅動器上的文件,以及兩個不同的有效載荷更新模塊。
幾乎所有C2都屬于Contabo GmbH托管服務提供商,該托管服務器在南亞地區的威脅組織中較受青睞,CrimsonRAT以及TransparentTribe其他武器都曾連接到Contabo GmbH
CrimsonRAT是透明部落從事間諜活動的主要工具,該工具主要功能如下:
1、管理遠程文件系統
2、上傳或下載文件
3、截屏
4、進行音頻監控
5、監控攝像頭
6、竊取文件
7、記錄鍵盤
8、竊取瀏覽器中的密碼
移動端的特征
武器:Tahorse RAT、CapraRAT
CrimsonRAT C2 Nmap Scan
Probe TCP NULL q|| totalwaitms 6000 tcpwrappedms 3000 match crimsonrat m|^\x0c\0\0\0\0info=command$|s p/CrimsonRAT Controller/
CrimsonRAT 基礎設施主要托管在越南 VPS 經銷商 Pi NET LLC 租用的基礎設施上。
在Pi NET LLC主機上使用的不同證書,其通用名稱為WIN-L6BUPB5SQBC(Pi NET LLC 的已知 IP 范圍:https://github.com/team-cymru/iocs/blob/master/pinet/Pi%20NET%20LLC%20Ranges)
二 幾種C#類型的透明部落
1、USB蠕蟲(這種 RAT 能夠部署一個模塊來感染 USB 設備)
宏:
這些文檔通常嵌入惡意 VBA 代碼,有時使用密碼保護,配置為丟棄包含惡意負載的編碼 ZIP 文件。
該宏將 ZIP 文件放入在 %ALLUSERPROFILE% 下創建的新目錄中,并在同一位置提取存檔內容。目錄名稱可以不同,具體取決于示例:
%ALLUSERSPROFILE%\媒體列表\tbvrarthsa.zip
%ALLUSERSPROFILE%\Media-List\tbvrarthsa.exe
可執行文件是 Crimson “瘦客戶端”,它允許攻擊者獲取有關受感染機器的基本信息、收集屏幕截圖、操縱文件系統以及下載或上傳任意文件。
3a67ebcab5dc3563dc161fdc3c7fb161(樣本一)
無混淆
run:
功能:MSIL/Crimson下載器
b579c4a8dd622af458463ac3c76412ca(樣本二)
532013750ee3caac93a9972103761233(樣本三 Crimson)
三 樣本分析記錄
記錄一次簡單但完整的透明部落后門分析過程,推特上看到某家廠商發布的一個樣本,分析過后簡單記錄一下。
誘餌文檔:
宏加密了。
使用vbabypass解密后,宏代碼主要將路徑“.\xl\embeddings”下的oleObject2加上.bin后綴,隨后拷貝成同路徑下的uebslplyr.exe。uebslplyr.exe是c#寫的后門遠控文件。
uebslplyr.exe沒有混淆,可以直接分析,入口長這樣的:
進入Form1():
進入函數InitializeComponent():
Form1_FormClosing:
Form1_Load:
手動修改sleep的值之后,進入uebslplyrdou_start():
接下來關于uebslplyrdou_start()函數進行分析。
uebslplyrget_mpath();獲取文件路徑;
MYQUINF() 獲取用戶名計算機名等信息 :
需要找到調用該回調函數的地方才能從時間回調函數(uebslplyrlookupDons)入口處跟進去,System.Threading.Timer只是注冊這個回調函數到定時器,只有等定時器觸發才會調用回調函數。
隨即進入回調函數,接下來對該回調函數進行肢解。
端口號:
ip地址:
功能部分:
