[原创]记一次纯脚本载荷攻击的样本分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]记一次纯脚本载荷攻击的样本分析

发表于: 2019-7-8 11:13 29653

[原创]记一次纯脚本载荷攻击的样本分析

Am0rf4tx

2019-7-8 11:13

29653

该样本用到了与FIN7组织类似的攻击手段
文件md5：619aa4e6c9db275381ab0e7fc7078f5f
SHA256：a7a927bd44040817ae39e15aeb3f0b69ca943d4ce5b00d12eed6fae5b1c325d0
文件类型：rtf。

打开如下：
图片描述
双击

lnk文件目标内容：

lnk文件中的位置栏信息将启用vb引擎执行文件内容中的VBS代码。

提取文件中的VBS代码大致如下：
图片描述
上述代码中的 beg、psCb 、vbLdr三个字符串变量经过base64解码出58e773daa6ce37.38604406.vbs、58e773daa6ce54.73161248.ps1、58e773daa6ce48.18772433.vbs三个脚本文件，脚本文件保存在%HOMEPATH%\Intel目录下。然后起wscript.exe进程执行58e773daa6ce48.18772433.vbs。
图片描述
先研究58e773daa6ce48.18772433.vbs文件。
该vbs脚本中存在大量字符串信息，而且标识符名称均存在混淆。

封装到html文件中用浏览器调试。
注意executeglobal函数的调用。
图片描述
继续跟进。进入解密出的vsb代码片段

dump出这块代码，其核心逻辑代码如下所示。该段代码将会释放多个脚本文件和配置文件。

该过程释放文件如下。

对比脚本中存在的文件名称信息，发现有五个标识符并无释放的文件：p_autorjs1、p_autorjs2、p_ggldr、outFile、p_start。
根据代码中的执行顺序，依次执行p_runnerr、p_loader、p_autostarter2脚本内容。即58e773daa6cda0.00520298.vbs，58e773daa6cdb6.29194799.vbs、58e773daa6cdd1.63949905.vbs。

跟进58e773daa6cda0.00520298.vbs。同样通过executeglobal函数执行自解密出来的vbs代码。核心功能为文件删除、更新、运行新的恶意文件。
图片描述
这部分代码通过配置文件进行文件的移动以及删除操作，后续会起powershell.exe执行58e773daa6cd89.12178801.ps1脚本。

58e773daa6cd89.12178801.ps1脚本解码出来如下。该代码用于截屏，将位图文件保存到intel目录下。

58e773daa6cda0.00520298.vbs脚本通过与同目录下的58e773daa6cd71.36107668.ini交互，读取是否需要截屏的指令信息进行相应的操作。
如检测到“delete”指令，会解密出deletron.vbs文件，保存到%temp%目录下。deletron.vbs结构如下：
图片描述
该段代码用于创建计划任务，并基于正则表达式检测获取任务运行参数。

该部分代码可见IOC敏感信息，应该是网络交互部分。
图片描述
通过读取58e773daa6cd71.36107668.ini我呢见内容进行相应的RAT功能。

贴出核心RAT代码如下：

C2地址形式如下：在urlArry数组中取出IP及端口信息，然后拼接有盘符信息计算出的字符串。
5ddK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0t1H3y4q4)9J5k6e0p5#2y4g2)9J5k6e0x3I4i4K6u0W2x3e0j5%4i4K6y4m8z5o6m8Q4x3V1k6U0k6q4)9K6c8X3k6D9y4h3N6Q4x3@1c8z5x3Y4c8F1e0#2S2k6i4K6t1#2x3@1c8Q4x3U0k6S2L8i4m8Q4x3@1u0E0N6X3S2%4k6r3S2X3i4K6y4p5j5@1S2H3L8q4)9J5y4X3q4E0M7q4)9K6b7X3N6E0L8K6m8I4N6r3u0Q4x3@1c8y4K9W2g2Q4x3U0f1K6c8q4)9J5y4X3q4E0M7q4)9K6b7X3W2Z5K9o6S2&6i4K6y4p5P5h3E0m8L8%4k6a6g2r3^5%4e0h3S2A6d9U0W2&6L8#2W2a6d9X3g2A6d9q4)9J5y4e0y4p5i4K6t1#2x3@1b7`.
8d7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0t1H3y4q4)9J5k6e0p5#2y4g2)9J5k6e0x3I4i4K6u0W2x3e0j5%4i4K6y4m8y4o6b7K6i4K6u0r3j5$3c8Q4x3@1k6X3L8o6g2Y4i4K6y4p5e0U0u0@1L8V1!0j5h3g2)9J5y4e0y4p5i4K6t1$3j5h3#2H3i4K6y4n7L8i4k6Z5N6$3c8Z5k6W2)9K6c8r3y4t1M7r3I4Q4x3U0k6S2L8i4m8Q4x3@1u0Y4L8h3)9H3M7i4c8T1i4K6y4p5e0h3A6g2i4K6t1#2x3@1c8Q4x3U0k6S2L8i4m8Q4x3@1u0A6K9r3R3^5P5g2)9K6c8s2W2C8b7h3!0$3e0#2c8F1y4@1#2Z5K9f1Z5&6P5h3!0k6e0@1A6W2K9f1S2Q4x3U0f1K6c8q4)9J5y4e0y4p5

杀软检测，若存在杀软就退出。包括卡巴斯基、AVG等厂商的杀软产品（通过遍历查找杀软组件模块检测）。
图片描述

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2019-7-8 11:15 被Am0rf4tx编辑，原因：

#调试逆向

收藏・9

免费・8

支持

打赏 + 1.00雪花

DlyWtF700

打赏次数 1

雪花 + 1.00

DlyWtF700

+1.00

2019/07/08

打赏一波

最新回复 (9)
Am0rf4tx 雪币： 1726 活跃值： (744) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 33 粉丝 3 关注私信	Am0rf4tx 3 2 楼好吧，看雪峰会门票还差1000雪币... 2019-7-8 11:17 1
DlyWtF700 雪币： 381 活跃值： (165) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 27 粉丝 2 关注私信	DlyWtF700 3 楼点赞,写得不错,收藏了! 2019-7-8 15:15 1
kxzpy 雪币： 3496 活跃值： (749) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 262 粉丝 2 关注私信	kxzpy 4 楼点赞，收藏，写的的确不错。。 2019-7-9 08:12 0
kanxue 雪币： 58782 活跃值： (21915) 能力值： (RANK：350 ) 在线值：发帖 2384 回帖 17068 粉丝 614 关注私信	kanxue 8 5 楼输出全靠吼好吧，看雪峰会门票还差1000雪币... LV6级以上会员，直接可以得到门票：https://bbs.pediy.com/thread-252239.htm 2019-7-14 20:33 0
Am0rf4tx 雪币： 1726 活跃值： (744) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 33 粉丝 3 关注私信	Am0rf4tx 3 6 楼 kanxue LV6级以上会员，直接可以得到门票：https://bbs.pediy.com/thread-252239.htm 感谢提醒。已经兑到门票了 2019-7-15 10:42 0
CrazymanArmy 雪币： 9792 活跃值： (1725) 能力值： ( LV12，RANK：261 ) 在线值：发帖 7 回帖 39 粉丝 29 关注私信	CrazymanArmy 2 7 楼 FIN7 APT组织的样本 dbfK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2X3K9i4u0W2k6i4W2W2i4K6u0W2j5$3!0E0i4K6u0r3j5X3I4G2k6#2)9J5c8Y4c8Z5M7X3g2S2N6q4)9J5k6s2u0W2M7$3g2S2M7X3y4Z5i4K6u0r3x3U0l9I4z5q4)9J5c8U0l9^5i4K6u0r3k6X3W2F1y4#2)9J5k6s2m8#2M7Y4y4#2K9h3&6Y4i4K6u0V1j5h3&6Q4x3X3c8W2L8X3W2Y4L8h3q4@1K9h3y4Q4x3X3c8S2L8X3c8Q4x3X3c8W2N6X3q4K6K9i4k6W2i4K6u0V1k6$3I4G2j5X3q4D9i4K6u0V1j5%4u0A6L8h3W2F1j5h3I4Q4x3X3c8G2M7r3g2J5j5i4c8A6L8$3&6Q4x3X3g2Z5N6r3#2D9 2019-7-17 09:48 0
Am0rf4tx 雪币： 1726 活跃值： (744) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 33 粉丝 3 关注私信	Am0rf4tx 3 8 楼 CrazymanArmy FIN7 APT组织的样本 7e7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2X3K9i4u0W2k6i4W2W2i4K6u0W2j5$3!0E0i4K6u0r3j5X3I4G2k6#2)9J5c8Y4c8Z5M7X3g2S2N6q4)9J5k6s2u0W2M7$3g2S2M7X3y4Z5i4K6u0r3x3U0l9I4z5q4)9J5c8U0l9^5i4K6u0r3k6X3W2F1y4#2)9J5k6s2m8#2M7Y4y4#2K9h3&6Y4i4K6u0V1j5h3&6Q4x3X3c8W2L8X3W2Y4L8h3q4@1K9h3y4Q4x3X3c8S2L8X3c8Q4x3X3c8W2 ... 感谢你的链接 2019-7-17 15:13 0
Am0rf4tx 雪币： 1726 活跃值： (744) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 33 粉丝 3 关注私信	Am0rf4tx 3 10 楼这就是一个定制好的后门程序，不明白你为什么需要注册？099K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6i4K6u0W2N6r3S2J5k6h3q4@1j5X3!0G2K9#2)9J5k6h3y4F1i4K6u0r3M7X3g2H3L8%4u0@1i4K6u0r3k6X3W2D9k6g2)9J5c8U0u0X3y4o6N6T1j5e0S2V1y4U0x3J5z5e0V1J5y4$3g2T1x3K6x3%4x3r3y4T1j5U0u0V1k6e0p5^5k6X3t1%4y4U0V1@1k6o6V1%4j5K6p5%4x3r3k6T1z5r3u0U0y4U0b7I4z5e0p5&6k6o6b7^5x3h3t1I4k6h3f1&6k6h3q4Q4x3V1k6Q4x3@1k6W2L8Y4k6Q4x3@1c8%4K9h3^5%4i4K6g2X3M7%4l9I4i4K6g2X3k6h3&6^5z5o6k6Q4y4h3k6G2k6X3k6A6j5$3f1J5x3o6p5K6 2019-7-24 19:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Am0rf4tx

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
Am0rf4tx 雪币： 1726 活跃值： (744) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 33 粉丝 3 关注私信	Am0rf4tx 3 2 楼好吧，看雪峰会门票还差1000雪币... 2019-7-8 11:17 1
DlyWtF700 雪币： 381 活跃值： (165) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 27 粉丝 2 关注私信	DlyWtF700 3 楼点赞,写得不错,收藏了! 2019-7-8 15:15 1
kxzpy 雪币： 3496 活跃值： (749) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 262 粉丝 2 关注私信	kxzpy 4 楼点赞，收藏，写的的确不错。。 2019-7-9 08:12 0
kanxue 雪币： 58782 活跃值： (21915) 能力值： (RANK：350 ) 在线值：发帖 2384 回帖 17068 粉丝 614 关注私信	kanxue 8 5 楼输出全靠吼好吧，看雪峰会门票还差1000雪币... LV6级以上会员，直接可以得到门票：https://bbs.pediy.com/thread-252239.htm 2019-7-14 20:33 0
Am0rf4tx 雪币： 1726 活跃值： (744) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 33 粉丝 3 关注私信	Am0rf4tx 3 6 楼 kanxue LV6级以上会员，直接可以得到门票：https://bbs.pediy.com/thread-252239.htm 感谢提醒。已经兑到门票了 2019-7-15 10:42 0
CrazymanArmy 雪币： 9792 活跃值： (1725) 能力值： ( LV12，RANK：261 ) 在线值：发帖 7 回帖 39 粉丝 29 关注私信	CrazymanArmy 2 7 楼 FIN7 APT组织的样本 dbfK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2X3K9i4u0W2k6i4W2W2i4K6u0W2j5$3!0E0i4K6u0r3j5X3I4G2k6#2)9J5c8Y4c8Z5M7X3g2S2N6q4)9J5k6s2u0W2M7$3g2S2M7X3y4Z5i4K6u0r3x3U0l9I4z5q4)9J5c8U0l9^5i4K6u0r3k6X3W2F1y4#2)9J5k6s2m8#2M7Y4y4#2K9h3&6Y4i4K6u0V1j5h3&6Q4x3X3c8W2L8X3W2Y4L8h3q4@1K9h3y4Q4x3X3c8S2L8X3c8Q4x3X3c8W2N6X3q4K6K9i4k6W2i4K6u0V1k6$3I4G2j5X3q4D9i4K6u0V1j5%4u0A6L8h3W2F1j5h3I4Q4x3X3c8G2M7r3g2J5j5i4c8A6L8$3&6Q4x3X3g2Z5N6r3#2D9 2019-7-17 09:48 0
Am0rf4tx 雪币： 1726 活跃值： (744) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 33 粉丝 3 关注私信	Am0rf4tx 3 8 楼 CrazymanArmy FIN7 APT组织的样本 7e7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2X3K9i4u0W2k6i4W2W2i4K6u0W2j5$3!0E0i4K6u0r3j5X3I4G2k6#2)9J5c8Y4c8Z5M7X3g2S2N6q4)9J5k6s2u0W2M7$3g2S2M7X3y4Z5i4K6u0r3x3U0l9I4z5q4)9J5c8U0l9^5i4K6u0r3k6X3W2F1y4#2)9J5k6s2m8#2M7Y4y4#2K9h3&6Y4i4K6u0V1j5h3&6Q4x3X3c8W2L8X3W2Y4L8h3q4@1K9h3y4Q4x3X3c8S2L8X3c8Q4x3X3c8W2 ... 感谢你的链接 2019-7-17 15:13 0
Am0rf4tx 雪币： 1726 活跃值： (744) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 33 粉丝 3 关注私信	Am0rf4tx 3 10 楼这就是一个定制好的后门程序，不明白你为什么需要注册？099K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6i4K6u0W2N6r3S2J5k6h3q4@1j5X3!0G2K9#2)9J5k6h3y4F1i4K6u0r3M7X3g2H3L8%4u0@1i4K6u0r3k6X3W2D9k6g2)9J5c8U0u0X3y4o6N6T1j5e0S2V1y4U0x3J5z5e0V1J5y4$3g2T1x3K6x3%4x3r3y4T1j5U0u0V1k6e0p5^5k6X3t1%4y4U0V1@1k6o6V1%4j5K6p5%4x3r3k6T1z5r3u0U0y4U0b7I4z5e0p5&6k6o6b7^5x3h3t1I4k6h3f1&6k6h3q4Q4x3V1k6Q4x3@1k6W2L8Y4k6Q4x3@1c8%4K9h3^5%4i4K6g2X3M7%4l9I4i4K6g2X3k6h3&6^5z5o6k6Q4y4h3k6G2k6X3k6A6j5$3f1J5x3o6p5K6 2019-7-24 19:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复