APT28分析之DDE样本分析

2019-05-25 约 98 字 预计阅读 1 分钟

声明:本文 【APT28分析之DDE样本分析】 由作者 番茄炖番茄 于 2019-05-25 08:40:00 首发 先知社区 曾经 浏览数 97 次

感谢 番茄炖番茄 的辛苦付出!

最近在研究APT攻击,我选择研究APT的方法通过一个APT组织入手,我选择的是APT28这个组织,APT28组织是一个与俄罗斯政府组织的高级攻击团伙,我将分析该组织的攻击样本、攻击方法、攻击目的来研究一个APT组织。本次分析的是该团伙使用的DDE漏洞,所有资料均来自互联网。
本次的分析的样本来此mcafee文章的样本,未提及具体共的攻击者,样本的内容与纽约恐怖袭击有关。APT28能够利用当时的热点事件。迅速采用新技术发起攻击。
DDE(动态数据交换),被定义为允许应用程序共享的一组消息和准则。,应用程序可以使用DDE协议进行一次数据传输,以便应用程序在新数据可用时将更新发送给彼此,这次分析的两个样本,一个未混淆一个混淆,也比较能反应出攻击组织在攻击手法上的改进
此次分析的样本一共如下两个:
文件名称 IsisAttackInNewYork.docx
SHA-1 1C6C700CEEBFBE799E115582665105CAA03C5C9E
创建时间 2017:10:27T 22:23:00Z
文件大小 53.1 KB (54,435 字节)

文件名称 SabreGuardian.docx
SHA-256 68C2809560C7623D2307D8797691ABF3EAFE319A
创建时间 2017:10:27 22:23:00Z
文件大小 49.8 KB (51,046 字节)
样本分析
首先分析SabreGuardian.docx,双击之后发现会出现提示更新域


在点击是之后,会出现另外一个提示,我们可以看到出现以下,出现了启动应用程序MSWord程序,这里初始一看并没有什么问题,毕竟启动的是WORD本身自己。


我们在所有有关字符串之后,发现了相关的DDE攻击代码,在word/document.xml中,如下图所示。


我们可以看到样本运用初步的社会工程学技术,虽然表面上是运行的MSWord.exe,但是实际上运行的是POWERSHELL进程。
"C:\Programs\Microsoft\Office\MSWord.exe\..\..\..\..\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Powershell进程会远程下载一个文件,并用powershell执行起来。此文件用以下YARA规则进行匹配能够匹配到


再来分析SabreGuardian.docx,发现跟上个文件一样还是进行了一定的社会工程学,伪装成启动MSWord.exe

但是并没有发现如上一个文件一样的字符串,但是通过使用上面的yara规则也能匹配到具体的威胁,如下图所示。


在对应的word/document.xml发现了上面的字符串,我们具体分析下这个字符串。


通过分析发现了Quote域,Quote域可以将特定的文本插入到文档中如下图所示,QUOTE域提供某个字符的数字编码,它会将这个编码转换为对应的字符,set 用于存储Quote生成的值保存到C变量中,可以看到设置了三个变量c、d、e


最后传到DDE命令中


上面的内容缩写为
{SET c "{QUOTE 65 65 65 65}"}
{SET d "{QUOTE 66 66 66 66}"}
{SET e "{QUOTE 67 67 67 67}"}
{DDE {REF c} {REF d} {REF e}}
等同于
{DDE "AAAA" "BBBB" "CCCC"}
来写一个小的python脚本来将上面的数字编码转化成字符串。


三段小字符串分别是如下图所示,发现跟第一个是一样的通过powershell下载文件在通过power shell运行。


参考文章:
https://securingtomorrow.mcafee.com/mcafee-labs/apt28-threat-group-adopts-dde-technique-nyc-attack-theme-in-latest-campaign/

关键词:[‘安全技术’, ‘二进制安全’]


author

旭达网络

旭达网络技术博客,曾记录各种技术问题,一贴搞定.
本文采用知识共享署名 4.0 国际许可协议进行许可。

We notice you're using an adblocker. If you like our webite please keep us running by whitelisting this site in your ad blocker. We’re serving quality, related ads only. Thank you!

I've whitelisted your website.

Not now