LastConn 样本简陋分析

  1. 事件来源
  2. 分析过程
  3. 总结

事件来源

事件来源:https://www.proofpoint.com/us/blog/threat-insight/new-ta402-molerats-malware-targets-governments-middle-east

分析过程

由.NET开发

使用混淆器混淆过,de4dot 也无法完全反混淆,但它能够清除一些混淆
完全混淆:

部分混淆清除后:

入口点

private static void LsfApkF4M()
{
            Application.EnableVisualStyles(); //启用视觉样式
            if (Program.nigDBMdtyE5deZClpF != null)
            {
            }
            Application.SetCompatibleTextRenderingDefault(false); //在应用程序范围内设置控件显示文本的默认方式(true使用GDI+方式显示文本|false使用GDI方式显示文本.)
            if (Program.V9yJ8yp9ahRYqnZDsG())  //Program.nigDBMdtyE5deZClpF == null
            {
                w4X4wl9MxwlqqYZEne.cBFhC9cq2dv3Z();
                if (Program.nigDBMdtyE5deZClpF == null)
                {
                    Application.Run(new Form1());
                }
            }
}

进入到cBFhC9cq2dv3Z函数(判断当前时间减去 2021/6/16/时间戳判断是否大于14天)

大于或等于14天,在 2021-06-16 之后 14 天不能运行,过了这一步检测。进入Form1函数

获取主机名+当前用户名

用户路径的临时文件夹路径获取

检查是否有域的存在

获取系统制造商名称

解密资源文件里无名的资源

经过解密得到的为一份配置文件

txt_Totime=60 //超时时间
@txt_Ftime=50
@txt_FristTimeConn=45
@txt_PathDir=C:\Users\Public\Downloads //下载存放路径
@txt_PassRar=1D1VQB4G8Q //压缩包解压密码
@txt_Mutex=NVQAGGMV22CY37LNUO9T5CZVS
@txt_KeyPath=SOFTWARE\Box
@txt_LastConn=LastConn.txt
@txt_ShellCode=ShellCode.txt
@txt_ListFile=ListFile.txt
@txt_isdownload=isdownload.txt
@txt_FileToDown=FileToDown.txt
@txt_TokenRunOne=O1P6jtSegunFJIAAAAAAAAAAS-BcSjDEdrK0SsV7BAHes97oBWke06Lhg8ThncuyCCy
@txt_FileName=Viewfile //下载的压缩包名
@txt_MyToken=O1PWT9LGL1As7EAAAAAAAAAAe6Oc-OILc7Y0SU9OIAFll1nElPBz_uE467zscqimYfd
@txt_FileOpen=news.doc //诱饵文档
@txt_Setting=Setting

打开注册表路径HKEY_CURRENT_USER\SOFTWARE\Box,如果不存在则创建。然后从该路径读取名为OneFile的键值名称,如果不存在会退出进程,存在则进入到yExgOgDEb函数调用

先返回系统的语言

返回系统版本信息

返回一系列信息,然后上传到远端,利用Dropbox API 下载Viewfile.rar
利用rar命令行解压压缩包

根据原文的报告,会从此处下载

第四个也是最后一个能力是命令处理。“txt_FileToDown”文件是使用“txt_Setting”文件中收到的身份验证令牌从 Dropbox 下载的。如果有任何命令要执行,该文件将包含换行符分隔的“=”条目。命令包括:
DFileDrop – 下载并执行托管在恶意软件 Dropbox 上的文件
DFromUrl – 下载并执行托管在 URL 上的文件
Cmd – 执行 cmd.exe 命令并通过“txt_ShellCode”文件将结果发送回恶意软件的 Dropbox
Powershell – 类似于“Cmd”,但适用于 Powershell
WMIC - 类似于“Cmd”,但用于 WMIC
ListFile – 获取指定的文件列表并将结果通过“txt_ListFile”文件发送回恶意软件的 Dropbox
UploadFiles – 在恶意软件的 Dropbox 上创建文件夹并将指定的文件上传到其中
屏幕截图 – 截取屏幕截图并上传到恶意软件的 Dropbox
GetIP – 通过 hxxps://api.ipify.org 获取 IP 地址并上传到恶意软件的 Dropbox
执行命令后,其条目将从“txt_FileToDown”文件中删除,并将该文件重新上传到恶意软件的 Dropbox。

该杨本所有混淆字符串解密:https://github.com/EmergingThreats/threatresearch/blob/master/LastConn/decrypted_strs.txt
沙盒链接:https://www.hybrid-analysis.com/sample/cb76a31e0e3759721290ea00ad65d2c194adceb9d77907e97159d82ee0311dde/60cad3c23992d956906e976a

总结

混淆的cs,配合Dropbox做c2是个不错的选择


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:LastConn 样本简陋分析

本文作者:九世

发布时间:2021-06-20, 01:35:48

最后更新:2021-06-20, 01:55:09

原始链接:http://422926799.github.io/posts/519d2f5e.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录