First Sample - HackMD

# First Sample 樣本在 7/28 被丟上 any.run ![](https://i.imgur.com/XKziQ81.png) 最早於一個月前被丟上了 virustotal ![](https://i.imgur.com/P7llIhk.png) 是一種 Microsoft 文件的檔案格式 ![](https://i.imgur.com/XhRk7Ih.png) ![](https://i.imgur.com/JBe4yf9.png) ![](https://i.imgur.com/1ukZeF8.png) 惡意字串拼接 ![](https://i.imgur.com/yvOTd6K.png) 將惡意字串做 base64 解碼成真正的 payload ![](https://i.imgur.com/GkDe8f9.png) 解碼後的惡意 payload 寫入 deer.ini ![](https://i.imgur.com/h28nGrP.png) 執行 ipconfig /flushdns ![](https://i.imgur.com/7m6nYvQ.png) 執行 wscript.exe deer.ini ![](https://i.imgur.com/wEimKMx.png) 寫註冊表使惡意程式每次開機時都會執行一次 ( wscript.exe deer.ini ) ![](https://i.imgur.com/N6QAD7h.png) ## deer.ini 行為如果存在 deer.exe 的話就執行 LIZDPgJxmcKthWABqzb 並 sleep 一段時間 , 接著再刪除 deer.exe ( any.run 和我的環境中都沒有產生 deer.exe ) ![](https://i.imgur.com/S7QEpZK.png) 修改註冊表 ![](https://i.imgur.com/gRUtVDM.png) 跟這篇提到的行為類似 , 會藉由修改 VBAWarnings 和 AccessVBOM　來降低 Office Macro 的安全性 , 將 vbawarnings 關閉有利於往後的開機啟動 ``` Disable all with notification Value Name vbawarnings Value Type REG_DWORD Value 2 Disable all except digitally signed macros Value Name vbawarnings Value Type REG_DWORD Value 3 Disable all without notification Value Name vbawarnings Value Type REG_DWORD Value 4 Enable all macros (not recommended) Value Name vbawarnings Value Type REG_DWORD Value 1 ``` https://www.welivesecurity.com/2020/06/11/gamaredon-group-grows-its-game/ 傳送封包給 c2 , 目前回覆 status code 為 404 ![](https://i.imgur.com/dVhr7rM.png) ![](https://i.imgur.com/xPDMeRq.png) 如果 status code 是 200 執行 oCHIUZS ![](https://i.imgur.com/eqYWzHU.png) 如果回傳是200且長度>0 會把資料存成exe ![](https://i.imgur.com/H0a8Beh.png) 判斷是否為 MZ 頭 , 是的話就執行該 exe ![](https://i.imgur.com/ywberbz.png) 因為C2死掉了，所以就沒有後續的分析但是可以從domain查virustotal，會發現還有其他兩 malare 也是共用這個domain，而且 # Second sample 2021 07-30 14:20:00 被上傳於 any.run sandbox ![](https://i.imgur.com/jmLoNOx.png) ![](https://i.imgur.com/V54pK76.png) 2021 07-29 19:48:02 第一次被上傳於 virustotal ![](https://i.imgur.com/jY5nYzc.png) 首先利用 process monitor 觀察程式行為 , 發現程式會開啟大量的 thread 並執行讀寫檔案的動作接著執行程式 , 錄製 malware 與 C2 通訊的封包觀察封包後發現 C2 會傳送一個 sqlit3.dll 和一包含有dll的zip檔給使用者 ![](https://i.imgur.com/TKjSYHR.png) * sqlite : 用來連接 local chrome cookie db * bunch of dll (for sql) : 輔助 malware 和 sqlite 執行觀察封包後發現使用者會傳送一個帶有豐富使用者訊息的 zip 檔 , zip 檔內包括: ![](https://i.imgur.com/VyMVHKh.png) * 瀏覽器 cookie * 系統資訊 ( 安裝了哪些程式 , OS , CPU ... ) ![](https://i.imgur.com/NvSQeR0.png) * outlook 帳密 ip malware 把 zip 解包後隨即將 dll 檔載入記憶體 ![](https://i.imgur.com/9MAcQlw.png) ![](https://i.imgur.com/NZDOPWX.png) 乍看之下，會以為這隻mal沒有加殼，但是實際是有的。在動態分析手動把殼給拆了之後，會發現原本亂七八糟的字串有被解回明文之後繼續分析 ## browser related 解殼後的惡意程式字串中有很多 browser 名 ![](https://i.imgur.com/s4zDL5M.png) 尋找引用到 browser 字串的程式碼 , 發現 Malware 會到 userprofile 下抓取瀏覽器使用者資訊 ![](https://i.imgur.com/giIxMDt.png) :::info 儲存 browser 訊息的檔案 userprofile/\<browser\>/User Data ![](https://i.imgur.com/0ncICme.png) ::: 被竊取資訊的程式包括: * google chrome * google chrome SxS * Microsoft Edge * chromium * Xpom * Comodo Dragon * Agmigo * Orbitum * Bromium * Brave * NichromeNichrome * RockMelt * 360Browser * Vivaldi * Opera * Go * Sputnik * Kometa * Uran * CocCoc * CentBrowser * 7Star * TorBro * Shuba * Safer Browser * Mustang * Superbird * Chedot * Torch * QQ Browser * UC Browser * Waterfox * SeaMonkey * PaleMoon * ThunderBird * bitwarden * Atomic * 1password 惡意程式竊取 Cookie 手法大致如下 * 從 `%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Local State` 竊取 decodes AES key * sqlite3 連接 `%USERPROFILE%\AppData\Local\Google\Chrome\User Data\default\Cookie` 再從中獲取包括 encrypted cookie 在內的機密資訊 ``` SELECT <主機> , <cookie 名稱> , <創建 utc>, <過期 utc>, <加密後的 cookie> FROM cookies ``` * 將加密後的 cookie 以 decodes AES key 解密惡意程式執行 sqlite3_open_v2 開啟使用者目錄下的 frAQBc8Wsa ![](https://i.imgur.com/WKGsarI.png) frAQBc8Wsa 為 SQLite database , 為程式在執行過程中產生檔案 , 結束時會自動刪除 ![](https://i.imgur.com/aIvnhpT.png) ## outlook related 惡意程式會透過 WinAPI 讀取與 outlook 帳戶相關的 registry key ![](https://i.imgur.com/c3nakji.png) ![](https://i.imgur.com/lQxB19v.png) ![](https://i.imgur.com/UFEwMnx.png) ## C2 related 跟其他病毒的關係可能屬於哪了apt ## 結語網路的世界真的很黑暗，請大家保護好自身的資料 ## C2 服務觀察與 telete.in ( 195.201.225.248 ) 連接 , 連接成功的話會從 185.234.247.75 下載 dll 檔與 telete.in 正常連接封包 ![](https://i.imgur.com/0WtTnLp.png) telete.in 於 7/31 晚上暫停服務 ![](https://i.imgur.com/nINJBqf.png) 8/1 下午又再次重啟 ## 評審講評 ### Duck 1. case1 在 diamond model 的受害者，可以以圖搜圖，看有沒有誰也中獎，查看真實受害者是誰 (microsoft user 太廣義) 2. 為什麼選這幾個範本? 隨機嗎 ### Arogorn 1. browser 拿取方式跟評審想像不太一樣，通常是使用 dbAPI 來做解密，你們真的有成功加解密嗎 ### TT(亂入) 1. (Diamond model，四個方向不是獨立，而是非常相關的，例如透過 capability victim infra 的線索去拼湊出關於更多 adversary 的線索) ### 逢甲大學王銘鴻助理教授 1. 為什麼選這兩隻? 有什麼特點 2. 報告可以多點補充，要顧慮到有些同學沒有相關背景 ### 台大資工蕭旭君教授 1. 可以多一點標示註記，那些是你們逆的，哪些是你們找的