1/20 作業 - 分析 Malware

# 1/20 作業 - 分析 Malware {%hackmd theme-dark %} ###### tags: `T5` `Team T5 Security Winter Camp` ### Jeff ## 使用 olevba 了解檔案基本資訊 - 可以發現 olevba 偵測到有一些 Keyword 是 Suspicious（如下圖），發現它除了會 Open, Write file 之外，好像也會彈 Shell 之類的動作。 ![](https://i.imgur.com/K5IiuBW.png) - 也可以看到 olevba 解析出來的 Macro（如下圖） ![](https://i.imgur.com/JJPMXKm.png) - 此外也可以看到有一個很怪的字串（如下圖、節錄片段） ![](https://i.imgur.com/ZGq87Tr.png) - 因為不知道，整坨東西到底在幹嘛，因此我試著研究它的程式碼。首先，我看到98-100行（如下圖、綠色框起來的地方）有把東西（btsShorba）寫入 Binary。因此我以 btsShorba 當關鍵字，往前找，發現在第91行（如下圖、紅色框起來的地方）有做了一些處理（Cbyte），而它的輸入是 vl，而 vl 來自 ar1Shorba 。我再以 ar1Shorba 當關鍵字往前搜尋，發現第77-80行（如下圖、藍色框起來的地方），使用 Split 將含有！或 $ 的字串分段。 ![](https://i.imgur.com/OzXNNF2.png) ## 重組 - 根據上面的觀察，我大致上猜測它是將那整串很怪的字串進行 Cbyte 的處理後，再把它寫入 Binary 裡面。因此，我嘗試用 Python 寫了一段 PoC。 - PoC ```Python= # 開啟檔案，將整串很怪的字串存到 virus.txt，再開啟 with open("./virus.txt") as f: content = f.read() # split ! content_new = content.split("!") # Turn into bytes # re-construct malware = bytes() for i in range(len(content_new)): malware += bytes([eval(content_new[i])]) # Dump the file as binary with open("malware", "wb") as file_save: file_save.write(malware) ``` - 最後 Dump 出一個 zip 的檔案。 - 開啟後，發現一個 revamp.scr 的檔案 ![](https://i.imgur.com/TmVO1pt.png) ## 惡意程式分析 - 將 revamp.scr 丟入 DIE 後可以發現以下資訊 ![](https://i.imgur.com/rISwxZ5.png) - 按兩下開始執行，可以發現在 Process Monitor 裡面有動靜（filter 設定 Operation is WriteFile） ![](https://i.imgur.com/uyktkEu.jpg) - 發現它在 C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 的地方（開機自動執行）偷偷寫入了一個 PowerIso 檔案。 ![](https://i.imgur.com/ubx4I48.png) - 透過 Wireshark 也可以發現它對 DNS 發起 Request。 ![](https://i.imgur.com/MdYrrYa.png) - 這裡可以發現他對 kmcodecs.com 發起 DNS Request。 ## 關聯 - 使用 RiskIQ 進行關聯。可以發現 kmcodecs.com 對應到兩個 IP，分別是 72.52.179.174 與 206.81.26.164（如下圖）。 ![](https://i.imgur.com/qVZPfGH.png) - 首先，先進入 206.81.26.164 的 IP（會挑這個 IP 因為他的 Source 有標紀是 emerging_threats）可以發現， whois 對應到兩個 Emails（如下圖）。 ![](https://i.imgur.com/q31jH5r.png) - 可以看到 noc@digitalocean.com 的 Whois History ![](https://i.imgur.com/ae7GetG.png) - 新資訊（2021.01.24 中午左右）： - ![](https://i.imgur.com/FElK8Hi.png) - 新拿到一個 sashasadovskyi7@gmail.com 的信箱，再把它丟回 RiskIQ 做關聯（如下圖）。發現沒有結果。 - ![](https://i.imgur.com/NFv4SCn.png) ## 來一點 Google Hacking ![](https://i.imgur.com/EVMfvfE.png) - 可以發現一個網站 ![](https://i.imgur.com/2uzo0pe.png) - 東西載下來後，可以發現他的密碼。 ![](https://i.imgur.com/pZjVdqh.png) - sashasadovskyi7:AlexSD - 嘗試用 MAIL HQ ACCESS 搜尋，可以發現該[網站](https://www.grouphq.tal.com.au/user/login)（如下圖）![](https://i.imgur.com/zctCCxS.png) - 發現登入失敗... ![](https://i.imgur.com/9OF7zfR.png) - 透過關聯，又發現另一個[網站](https://kb.dialoggroup.biz/manager/access/password_reset/) -> 使用忘記密碼，發現 sashasadovskyi7@gmail.com 沒有註冊 ![](https://i.imgur.com/xRSKRWQ.jpg) - 然後目前就先到這樣了@@... ## Resources - [來自TransparentTribe APT組織的竊密](https://www.sohu.com/a/347559451_354899) - [Twitter](https://twitter.com/timele9527/status/1167626219916972032)