首页
论坛
专栏
课程

[翻译]AutoIT FUD Crypter样本的分析

2019-8-31 01:24 3397

[翻译]AutoIT FUD Crypter样本的分析

2019-8-31 01:24
3397

前段时间,在审查一些发给MalSilo的样本报告的时候,有些细节吸引了我的注意,下面是其中一个样例的触发点。

- PE32 sample
    - some generic YARA rules matches
    - + AutoIT match
    - + DarkComent match
- Persistance via schtasks.exe
- svchost.exe connecting to exotic domain

里面的每一个恶意行为看起来都很普通,但在快速地检查一遍之后,会发现一些奇怪的元数据,这些元数据表明这个样本是用 CypherIT加了壳的。

 

在我通过搜索发现这些之前,这个加壳工具已经在一些论坛和YouTube里很出名了。

  • 这篇分析报告的第一部分会对样例的各个层级进行分析,一直分析到涉及到RunPE(shellcode)的核心部分。

  • 第二部分会对CypherIT网站上宣传的每个功能,分析其代码实现

  • 第三分部会分析其他的一些加了壳的恶意软件,以及他们的payload。在这里要感谢MalSilo的backends(其中之一是恶意软件信息共享平台(MISP))提供的恶意软件样本

  • 最后但也很重要的是,我们会分析一下最新的几个样例

让我们开始揭开这个壳的神秘面纱。

 

样本的技术细节如下:

First seen (MalSilo): 2018-11-28
File name: K2bkm.jpg
drop site: https[:]//f.coka[.]la/K2bkm.jpg
md5: 7ece8890e1e797843d68e73eb0ac2bc4
sha1: 4448b907f2c9f9ee8e4b13e4b6c292eef4b70930
sha256: 84d0c9352eacf92a919f972802a6a7949664f204f984aaf4b44da1b1aa7aa729
ssdeep: 24576:Fu6J33O0c+JY5UZ+XC0kGso6FapiE6kitdnsxWY:Hu0c++OCvkGs9FaeFY

进程执行流

行为图

Pstree视图

细节视图

sample.exe

sample.exe
    |
    \_ (copy of) sample.exe
    \_ schtasks.exe 1368 /create /tn 5265676973747279204B6579204E616D65 /tr "C:\Users\[..]\AppData\Local\Temp\Folder Name\winint.exe" /sc minute /mo 1 /F

I - 运行时行为

壳的执行流程如下:

  1. sample.exe执行一次基本的反分析检查

    1.执行AutoIT脚本

  2. AutoIT代码:

    1. 启动执行逻辑:

      1. 移除Zone.Identifier

      2. 创建mutex

      3. Sleep

      4. 运行PE资源块中附加的解密程序

      5. 执行RunPE(通过shellcode),在这个例子中,是self-process hollowing

      6. 安装持久化任务

最终的payload(在这个例子中是DarkComet)执行dirty job。

第一层

为了避开可能的监控,加载器的第一层只检查程序是否被调试,实现的方式是在偏移0x00403b7A

 

处调用古老的isDebugPresent

 

 

如果程序正被调用,就会显示一个假消息给用户,然后退出程序。

 

 

在这一步中,并没有进行额外的反分析检查,整个执行流完美地将控制权交给AutoIT的代码解释器。

第二层

样例的代码并没有被重度混淆,许多核心函数的名称还保持原样(例如,binder, startup,
persistautoinject,[...])。

 

然而,整体代码可以被分为3块。

  1. 顶层:主要是AutoIT的一些原生的主要函数+基本的字符串混淆函数

  2. 中层:核心功能

  3. 底层:主要执行逻辑

让我们从底层开始;下图是开始部分的主要步骤

 

函数名 行为
enhkoxkvrufrsntgjkoyxiard 为了避免Windows通知用户发现了一个不受信任的文件,移除了文件的Zone.identifier
mutex 这是一个常用的实现(通过Windows API调用->Kernel32.dll -> CreateMutexW),用于创建/检查mutex,并确保只有一个感染实例在运行
_cryptedfile 该函数将多个函数连接起来,最后从样例中读取一个PE资源出来,然后将其解密,将之传给下一个函数(注入器)
dnqmjpfdpcuxwbwkadcaibgzw RunPE注入函数,利用shellcode载入最终的payload(本例中是Darkcomet)
startup 持久化模块,它会通过schtasks.exe安装一个每分钟执行一次的定时任务
ughotphdsufuiehfpoegoakmi 另一种检测样例是否在运行的方式,它还会调用RunPE注入函数
 

中间部分的代码存着的函数比这个样例的更多。有些存着加密函数的进入和退出行为。

 

在那些函数中,还有一些有趣的,但是本样例中没有使用到的函数:

  • PersistAutoinject

  • Binder

  • UACBypass

  • USBSpreader

  • AntiVM

PersistAutoinject

在清理(译者注:去除字符串混淆)了一些函数并对部分函数重命名之后,payload注入RegAsm.exe的过程就很直观了。

 

请注意,$_cryptedfile存储着解密后的PE资源,这一PE资源是由加密器携带着的最终的payload。

 

Binder

根据函数的参数,储存在加壳器中的payload被附加到一个未被感染的文件的末尾,然后开始执行。

 

合并后的文件可被放进%temp%中,%appadata%或是原文件运行时所在的文件夹

 

UACBypass

基于操作系统的版本,有两种不同的UAC绕过方法

 

在Windows7或8中是通过eventwer,而在Windows10中是通过fodhelper。

 

USBSpreader

该函数的实现是这样的:

  • 枚举可移除的设备

    • 对于每个设备,找到其对应的文件夹

    • 对于每个没有 .pif
      后缀的文件,将payload复制到文件夹中,并重命名为原名称加上 .pif 后缀

    • 删除原始文件

AntiVM

该函数会进行三条注册表的检查

  • 通用的注册表

  • VMware的注册表

  • VirtualBox的注册表

在代码的 top
部分,有几个很明显的函数调用,它们是RunPE和其他的操作系统调用的组成部分。

  • DllStructSetData

  • DllStructGetSize

  • DllStructGetPtr

  • DllStructGetData

  • DllStructCreate

  • DllCall

至于字符串混淆部分,去除混淆的函数是这样的

 

 

在脚本的各个地方都有反混淆线程调用,不过字符串的含义却很明显。

 

RunPE - Process Hollowing

在使用脚本中硬编码的密码读取并解密(AES256)携带的payload之后,后面的操作如下述流程图所示。

 

 

考虑到 UPX 部分具有 on/off 特征,在其他例子中可能并不会启用。

 

shellcode(下图只是一小份代码片段)被嵌入到脚本里,并有一个专属的函数 RunPE
。函数主体被字符串混淆函数xharcuawtv隐藏起来了。

 

 

在将shellcode提取并转换为合适的格式后,第一条shellcode指令通过PEB来获取kernel32和ntdll的基地址,用于随后的API调用。

 

 

shellcode也使用了一个基本的哈希函数,而不是将各个Windows API的字符串直接存储。

 

 

负责计算hash的函数位于\@ 0x00000092

 

 

汇编代码段翻译成python还是比较简单的。

win_apis = [
    "CreateProcessW",
    "VirtualAllocEx",
    "VirtualAlloc",
    "WriteProcessMemory",
    ...
    ...
    ...
]

def build_hash(api):
    mapping = map(ord, api)
    uVar2 = 0
    for i in mapping:
        uVar2 = (uVar2 << 4) + i
        if (uVar2 & 0xF0000000):
            uVar2 = (uVar2 ^ (uVar2 & 0xf0000000) >> 0x18) & 0xfffffff

    return hex(uVar2)

for win_api in win_apis:
    print("{}\t{}".format(build_hash(win_api),win_api))

在枚举从kernel32.dll和ntdll.dll中导出的函数时,将shellcode中找到的哈希值与其字符串对应起来就有点烦琐,正如这部分开头所展示的那样

Hash API DLL API
0x73c3a79 ntdll.dll memcpy
0xb8a4a79 ntdll.dll RtlZeroMemory
0xc8338ee ntdll.dll NtUnmapViewOfSection
0x1e16457 kernel32.dll CreateProcessW
0x8cae418 kernel32.dll VirtualAllocEx
0x3d8cae3 kernel32.dll VirtualAlloc
0x648b099 kernel32.dll WriteProcessMemory
0x394ba93 kernel32.dll TerminateProcess
0x4b9c7e4 kernel32.dll GetThreadContext
0x4b887e4 kernel32.dll SetThreadContext
0x1d72da9 kernel32.dll ReadProcessMemory
0xb3dd105 kernel32.dll VirtualFree
0xf232744 kernel32.dll ResumeThread
0xd186fe8 kernel32.dll VirtualProtectEx
 

在最后,调用ResumeThread,恢复挂起的进程(已经将payload注入进去)并释放携带的恶意软件。

 

在网络上快速地搜索了一下与shellcode的wrapper相似的结果,找到了一个几乎完全相同的版本。该版本由一个用户在2016年发布于一个论坛上,原名叫作Wardow

 

假如说先前找到的是真的,那么一个可能是CypherIT的是直接由复制粘贴的wrapper/shellcode组成,再嵌入到加密器中。

II - CypherIT

先来看一看CypherIT的官网,从刚刚分析的代码中观察到的功能和官网列出的功能还是很容易一一对应起来的。

 

注意:截图日期为2019年4月

 

 

 

壳的价格从30到300欧元不等,除此之外,还提供7X24小时的Discord(译者注:国外一款语音聊天软件)技术支持。

 

 

我猜Skype,ICQ和Jabber的时代就要过去了;-)

III - MalSilo中历史痕迹

MalSilo可以用在多种后端中,有的用于存储元数据,有的是用于例子中这种场景 -
除此之外还有更多的用法。

 

到现在为止我们一直在关注加密器,而对于payload并没有太多的关注,我想,调查一下在这次攻击活动中是否还有相似的恶意软件,也是挺有意思的一件事情。

 

因为MalSilo本质上来说难于观察到全世界的安全威胁。不过它还是可以提供一些观察的视角。比如说,用它看看有多少例子传到了这个系统中。

 

通过查询MISP(后端#2)可以搜到我们想要的内容,将所有收集到的例子按时间排序。

 

下表显示总共有49个样子,我们先前分析的“首个病例”出现在2018-11-28。

 

 

因为MalSilo工作的方式,追踪每一个恶意软件家族的步骤都是独一无二的,因此对于这方面我没有太多的东西能够分享,但其中的关键点可以罗列如下:

  1. 创建加密器指纹的YARA规则(注意:到目前为止,这个规则是针对先前分析的版本制定的,并没有考虑最新的版本的情况)

  2. 用新的规则+个性化的脚本查询后端#1(样例存储的地方)

  3. 对于每一个匹配,从后端#2(MISP)中提取样例的元数据

  4. 对所有样例批量脱壳

  5. 对于每个样例

    1. 收集加密payload中硬编码的密码

    2. 解密携带的payload,提取并存储到磁盘中

payload指纹是通过静态或动态的手段来采集的。对于混淆或是加壳这些使静态分析手段无效的情况,可以使用动态检查。最终的结果如下:

 

PE资源

AutoIT提供了一个简单的方式来将定制的资源添加到文件中,具体的实现方式是通过一个特定的用户定义函数(UDF,User
Defined Functions)
,也就是#AutoIt3Wrapper_Res_File_Add。

 

有趣的是,它暴露了嵌入资源的完整路径,因此,对于某些例子来说,它也暴露了构造这个payload的Windows用户名。

 

这些Windows路径的前半部分,暴露了下述名称

  • c:\users\user

  • c:\users\robotmr

  • c:\users\lenovo pc

  • c:\users\hp

  • c:\users\bingoman-pc

  • w:\work\client and crypter

  • c:\users\administrator

  • c:\users\pondy

  • c:\users\peter kamau

用每个payload里提取出Windows路径画出的柱形图,如下所示

 

 

 

 

 

 

 

 

 

 

从上图中可以发现,壳确实是被一些恶意软件所使用。

 

出于好奇,我分析了administrator
用户的加密器(也是由这篇文章开头调查到的用户构造的),分析表明这三个样例都是由同一个版本(或更老的?)的CypherIT生成的。

 

之所以说可能是由更老的版本生成的,是因为,如果看一下其他例子,可以发现混淆技术在不断地更新。

IV - 最近的例子

大约在2019.02.11,YARA规则的开发结束了,因为CypherIT进行了一次更新。

 

从2019.07.23时在MalSilo中观察到的一个最近的例子(7b252dbb6a39ea4814d29ebfd865f8a46a69dd9f)以及一些之前的(2019年2月-2019年7月)例子,表明混淆技术或多或少地在不断更新。

 

到这里我们再从头梳理一下。

 

最后一部分会调查一些函数,下面是一些结论。

  1. 在运行时,第一条指令是一个循环,由大量的if语句组成,在这里初始化了一些变量。

  2. 在循环之前设置了一个控制变量,确定接下来应该跳到哪一个块

  3. 到每个if代码段的结束部分,控制变量会重新初始化,确定下一次跳转到哪里

  4. 一旦代码块被执行,一个特定的函数会被解析并调用。

  5. 最后,执行流就几乎和旧版本一样了。

像上面描述的扁平化控制流(CFF,Control Flow
Flattening),几乎在每个函数中都有,还伴有字符串混淆,最后一例中,有时有,有时没有CFF。

 

当提到沙盒检测时,就不得不提到两个新的函数

  1. 检测VirtualBox和VMware的VM客户端工具

    追踪鼠标移动

AntiVM_mouse_check的代码段使用了CFF和字符串混淆

 

 

恢复(译者注:去除字符串混淆和控制流扁平化)之后的AntiVM_mouse_check

 

 

AntiVM_process_check

 

 

恢复之后的AntiVM_process_check

 

 

关于payload,最新版本的payload存储在多个资源中,RESOURCE_TYPE_FONTDIR这个函数负责重建它,如下所示。

 

第一个函数参数,$data,接收一个由 | 分隔的资源列表,用它来重建最后的payload

 

$data=X|USXlhrrTcD|JqLn|hEuiNUhgRzrxs|nyFoHiqBt|PJYZYBUO|ChaHOMZLQtIa|AFpMebeesFkYteWii|FCSQpnQ|BHxAiLvVjtJlwSKA

 

 

关于shellcode没有什么特殊的地方好说的,它还是和之前分析的几个例子一样。

最后的想法

CypherIE并没有什么打破规则的技术,在揭开混淆层之后,可以发现它还是和2018年观察到的特征一样,只是添加了一些将各种技术组合起来的小把戏和一些功能(在最后一部分并没有完整地列出)

 

尽管最近使用了CFF和新的字符串混淆的样例增大了分析难度,但是因为其命名约定,一些函数和相关参数就显得有点多余。

 

如果说之前版本的样本是将payload存储在PE文件的一个section中,最新的版本则是将它分割开来存储在多个资源中,但是从本质上来说,重建的技术还是和以前一样。

 

除此之外,因为代码的框架逻辑在经过几次更新后仍然没有改变,一旦新的把戏被揭穿,分析步骤就和之前的样例一样了。

 

基于MalSilo遥测数据在这篇文章中列出来了,可以假设在偷窥数据的恶意软件中,加密器基本上是一样的。

附录

ATT&CK技术

Tactic ID 名称
Persistance T1053 Scheduled Task
Persistance T1158 Hide Files and Directories
Privilege escalation T1088 Bypass User Account Control
Defense evasion T1093 Process Hollowing
Defense evasion T1055 Process Injection
Defense evasion T1045 Software Packing
Defense evasion T1027 Obfuscation Files or Information
Defense evasion T1140 Deobfuscate/Decode Files or Information

YARA规则

rule cypherit_shellcode
{
    meta:
        author = "raw-data"
        tlp = "white"

        version = "1.0"
        created = "2019-01-25"
        modified = "2019-01-25"

        description = "Detects CypherIT shellcode"

    strings:

        $win_api1 = { c7 8? ?? ?? ?? ?? ee 38 83 0c c7 8? ?? ?? ?? ?? 57 64 e1 01 c7 8? ?? ?? ?? ?? 18 e4 ca 08  }
        $win_api2 = { c7 8? ?? ?? ?? ?? e3 ca d8 03 c7 8? ?? ?? ?? ?? 99 b0 48 06  }

        $hashing_function = { 85 c9 74 20 0f be 07 c1 e6 04 03 f0 8b c6 25 00 00 00 f0 74 0b c1 e8 18 33 f0 81 e6 ff ff ff 0f 47 49  }

    condition:
        (1 of ($win_api*)) and $hashing_function
}

MISP事件

下载

CypherIT样例和payload[08.2018 - 02.2019]

Malarchive

IOCs - 2019.07.23

收集日期 Crypter(sha1) 获取网址
2019-07-23 7b252dbb6a39ea4814d29ebfd865f8a46a69dd9f hXXp://mimiplace[.]top/invoice.exe

IOCs [08.2018 - 02.2019]

49个获取网址和44个样例

收集日期 Crypter(sha1) 获取网址
2018-08-28 bdf0f4184794a4e997004beefde7a29066e47847 hXXp://com2c.com[.]au/filehome/4hih
2018-09-03 55646431095967fc5d41d239de70a8ffbd8d0833 hXXp://service-information-fimance[.]bid/Java.exe
2018-09-03 823e2d3ef005d36b1401472dd5fd687a652b81b0 hXXp://service-information-fimance[.]bid/NETFramework.exe
2018-09-03 ec33f922fb324d7d2d4ee567ceba4563c6700661 hXXp://service-information-fimance[.]bid/AMADEUSapp.exe
2018-09-04 aed69a2e740e789139118e3753107f9d892790c7 hXXp://letmeplaywithyou[.]com/grace/bless.exe
2018-09-05 4f193f9724f8b37fe998f5d159ece8528f608fa9 hXXps://a.doko[.]moe/izgvrd
2018-09-05 aed69a2e740e789139118e3753107f9d892790c7 hXXps://letmeplaywithyou[.]com/grace/bless.exe
2018-09-07 ddf3a42a85fb4ae2fe5c86e7305265e8c46e52a9 hXXp://bit[.]ly/2Q6hlGD
2018-09-07 ddf3a42a85fb4ae2fe5c86e7305265e8c46e52a9 hXXps://b.coka[.]la/sxPC9O.jpg
2018-09-17 a81bc74373b5d948472e089877fa3b64c83c4fda hXXps://a.doko[.]moe/hpofbv
2018-09-19 e82e4a048cc66dfee9979a2db70e63b60a6aa3cb hXXp://lse-my[.]asia/servfbtmi.exe
2018-09-19 3fae31b10d8154edd1bfcca1c98cc3f61a78fdac hXXp://thepandasparadise[.]com/cts/dfgf/ExceI_Protected.exe
2018-09-19 5387c0ead3450eaef1cc82e4c4a0b52982fb2952 hXXp://thepandasparadise[.]com/cts/dfgf/dfdgfh/server_Pro.exe
2018-09-19 50a250aeb3c685e04cd2fce62634d1b95920cbab hXXp://scientificwebs[.]com/1.exe
2018-09-19 65b0e55170715d14ed139a7e1cd1710685e19a7d hXXps://scientificwebs[.]com/1.exe
2018-09-19 686e7c7e4767cc7198c71bc99596c226fbf1ab36 hXXp://thepandasparadise[.]com/cts/dfgf/win32_Pro.exe
2018-09-19 05fec020078b53643cb14a8ec7db3f2aa131e572 hXXp://thepandasparadise[.]com/cts/dfgf/dfdgfh/win32_Pro.exe
2018-09-19 1adc1f7d7fd258a75c835efd1210aa2e159636aa hXXp://thepandasparadise[.]com/cts/ExceI_Protected.exe
2018-09-19 bbcd6a0a7f73ec06d2fab527f418fca6d05af3a6 hXXp://lse-my[.]asia/dotvmptee.exe
2018-09-19 a5944808c302944b5906d892a1fd77adaf4a309c hXXp://thepandasparadise[.]com/cts/dfgf/dfdgfh/fgbh/server_Pro.exe
2018-09-19 90d6f6bb6879862cb8d8da90c99cb764f064bc5a hXXp://thepandasparadise[.]com/cts/dfgf/winRAR1.exe
2018-09-20 50a250aeb3c685e04cd2fce62634d1b95920cbab hXXps://scientificwebs[.]com/1.exe
2018-09-20 a9856ca5ecba168cc5ebe39c3a04cb0c0b432466 hXXp://scientificwebs[.]com/1.exe
2018-09-21 7d2cddf145941456c7f89eb0ecbbaabb1eb4ef0a hXXps://b.coka[.]la/E5CoMb.jpg
2018-09-21 767945f40c2de439c5107456e34f014149da16e6 hXXp://lse-my[.]asia/servfbtmi.exe
2018-09-21 6a41eb6dbfe98444f126d42b1b5818767ced508d hXXp://lse-my[.]asia/servfbtmi.exe
2018-09-21 a9856ca5ecba168cc5ebe39c3a04cb0c0b432466 hXXps://scientificwebs[.]com/1.exe
2018-09-25 6e75dc48ec0380e189f67ba7f61aff99f5d68a04 hXXp://b.coka[.]la/sMZD0n.jpg
2018-09-25 3e5bef4eaf3975de6573a2fd22ce66ad6c88c652 hXXps://b.coka[.]la/E19F0D.jpg
2018-09-25 50c2b8ac2d8f04a172538abaa00bcb5dc135bb12 hXXp://b.coka[.]la/ZKW6B.jpg
2018-09-27 96136f00f59a44c2bce10755bcced5c362868766 hXXp://lse-my[.]asia/stbincrp.exe
2018-09-27 b199f2488849b3bcad92e85190d2525422b1a644 hXXps://share.dmca[.]gripe/FxJ0r9YOSecgw9FP
2018-09-28 8973591f584f2b104559cc5bc73838ff0df0e50f hXXp://lse-my[.]asia/injclientcrp.exe
2018-09-28 03469616ce1ce960edbc6be814ca3ab86902067d hXXp://lse-my[.]asia/stbincrp.exe
2018-09-28 2ef17bc8b67f17fb5957c8edc969aa5bdcc1c76e hXXp://lse-my[.]asia/goosmi.exe
2018-09-28 6bdad0aae469313a8567ad1138a744dca74f1ecc hXXp://lse-my[.]asia/pacbellcrp.exe
2018-11-08 b12dda5c58fd6f6c83921007e14984f29f85f768 hXXp://77.73.68[.]110/ftp92131/nj2.dat
2018-11-08 ab2047929be29957da14dc9114009b149fd8c6b2 hXXp://77.73.68[.]110/bullet967/ORDER883847777384pdf.exe
2018-11-08 8deb9352d11ed1057209fc572f401d83ad548b27 hXXp://77.73.68[.]110/ftp92131/q2.dat
2018-11-08 011e58cee3757035ca531b85b9cb9e3680a73ed5 hXXp://77.73.68[.]110/ftp92131/q1.dat
2018-11-08 0fd9c8c5c1275a0b9c6418bf55fe48bff4c56264 hXXps://e.coka[.]la/g3iTRU
2018-11-08 06f327a1e115f3e1b42ffbcedc235d9c2f8a7811 hXXp://77.73.68[.]110/ftp92131/nj1.dat
2018-11-10 a293b6868a0b82621e94be1266d09c49f1ff7e0b hXXps://s3.us-east-2.amazonaws[.]com/qued/faxbyjeny33.exe
2018-11-28 4448b907f2c9f9ee8e4b13e4b6c292eef4b70930 hXXps://f.coka[.]la/K2bkm.jpg
2018-11-30 1625aa77ed24ed9d052a0153e1939b5a32b352ed hXXps://e.coka[.]la/GRVzbl.jpg
2018-12-07 43fd77d2401618f8cc0a7ae63bc6bd5e52630498 hXXps://doc-00-5k-docs.googleusercontent[.]com/docs/securesc/ha0ro937gcuc7l7deffksulhg5h7mbp1/rbdpoatvh5pc64k1st3d1atb7tcurkfh/1544212800000/11570855783461912856/*/15nlC5g9fvaX4VvpyZY-0L_HaSf5BpBaI?e=download
2019-02-11 6e75dc48ec0380e189f67ba7f61aff99f5d68a04 hXXps://b.coka[.]la/sMZD0n.jpg
2019-02-11 4c098028fa92129f9a40fb5f7fa3f3e60f9e2885 hXXps://b.coka[.]la/KMjalT.jpg
2019-02-11 68dcb96a0f096dc9846bf8bd3a41eb6b1fc764b2 hXXps://e.coka[.]la/BGZeW

从加密器到生成的payload的映射

加密器 (sha1) Payload (sha1) 恶意软件家族的payload
3fae31b10d8154edd1bfcca1c98cc3f61a78fdac b5d8fbe61e16c7d41d1d2b8ecb05db3f26328bad Generic-VBA-Injector
ec33f922fb324d7d2d4ee567ceba4563c6700661 b3b657d98212f654d787958940f2a9d47bfbea7e CyberGate/Rebhip
2ef17bc8b67f17fb5957c8edc969aa5bdcc1c76e 0ce26d4c9785c0bcdb617eaa5e5112f61704f00e Formbook
6a41eb6dbfe98444f126d42b1b5818767ced508d 035fa7cf96bf30c6f0aae990d9b03123a8d9147e Formbook
a9856ca5ecba168cc5ebe39c3a04cb0c0b432466 4fa9093716ae217a7c584d5fec6451284f99ae34 AgentTesla
50a250aeb3c685e04cd2fce62634d1b95920cbab 4fa9093716ae217a7c584d5fec6451284f99ae34 AgentTesla
68dcb96a0f096dc9846bf8bd3a41eb6b1fc764b2 7448566a87b0037c4826902353fffb5f572f7eae Remcos
55646431095967fc5d41d239de70a8ffbd8d0833 283d515db413c371d956568a2c80a18a2c6cff25 NanoCore
65b0e55170715d14ed139a7e1cd1710685e19a7d 4fa9093716ae217a7c584d5fec6451284f99ae34 AgentTesla
1625aa77ed24ed9d052a0153e1939b5a32b352ed 9ebef7e7a264cba868b0faeb7f34f5a5417cea36 Remcos
b199f2488849b3bcad92e85190d2525422b1a644 397f6f2bf9d5498c215662c164fe05f8090272cf Remcos
4f193f9724f8b37fe998f5d159ece8528f608fa9 f023cb03312770264fc71716c343a7f99ba77b37 AgentTesla
8deb9352d11ed1057209fc572f401d83ad548b27 2af16eb4711043e520369a3f27c97a80094df6ce QuasarRAT
5387c0ead3450eaef1cc82e4c4a0b52982fb2952 eaa912026092a81b42cfe1c51eba01132a051dd3 Generic-VBA-Injector
8973591f584f2b104559cc5bc73838ff0df0e50f b552cbb2b1a536ae1aa97dcdb68270036126931e Formbook
3e5bef4eaf3975de6573a2fd22ce66ad6c88c652 405dd0cf8527da5c586fa26b66ddcfad39febd61 AgentTesla
4448b907f2c9f9ee8e4b13e4b6c292eef4b70930 587bb64894c3bc5e46cfda3b777224f88a0b17f9 DarkComet
e82e4a048cc66dfee9979a2db70e63b60a6aa3cb 035fa7cf96bf30c6f0aae990d9b03123a8d9147e Formbook
0fd9c8c5c1275a0b9c6418bf55fe48bff4c56264 9567a636928edfa5c22d4c5fa761c38bcc6823a9 Remcos
4c098028fa92129f9a40fb5f7fa3f3e60f9e2885 af6cab774984d53451609bd26088309172737f89 AgentTesla
ab2047929be29957da14dc9114009b149fd8c6b2 8600cfa7fab36533ca02215202aefd7c68ecba9b Imminent
6e75dc48ec0380e189f67ba7f61aff99f5d68a04 f59755e9fa01362a9bc63f3e8da944eb3d3da3c4 AgentTesla
ddf3a42a85fb4ae2fe5c86e7305265e8c46e52a9 405dd0cf8527da5c586fa26b66ddcfad39febd61 AgentTesla
90d6f6bb6879862cb8d8da90c99cb764f064bc5a eaa912026092a81b42cfe1c51eba01132a051dd3 Generic-VBA-Injector
a293b6868a0b82621e94be1266d09c49f1ff7e0b cb24de30895442cf327d3947edd56be6503e2b13 Imminent
bdf0f4184794a4e997004beefde7a29066e47847 f023cb03312770264fc71716c343a7f99ba77b37 AgentTesla
b12dda5c58fd6f6c83921007e14984f29f85f768 0eeca43abeced0650d941ad8515bd744fa4176ed NjRAT
a5944808c302944b5906d892a1fd77adaf4a309c eaa912026092a81b42cfe1c51eba01132a051dd3 Generic-VBA-Injector
bbcd6a0a7f73ec06d2fab527f418fca6d05af3a6 17159c39c4ee765291035bbf5687dafeeb1bd380 Formbook
1adc1f7d7fd258a75c835efd1210aa2e159636aa b5d8fbe61e16c7d41d1d2b8ecb05db3f26328bad Generic-VBA-Injector
011e58cee3757035ca531b85b9cb9e3680a73ed5 6cd247e6d37d43a64741cb1e57efba96785d4c84 QuasarRAT
50c2b8ac2d8f04a172538abaa00bcb5dc135bb12 f13046e41b10d376a938cf60b29943459b58ee8a AgentTesla
6bdad0aae469313a8567ad1138a744dca74f1ecc d4ddf2da16dc503c3d14178caa84f993467e3fcd Formbook
823e2d3ef005d36b1401472dd5fd687a652b81b0 a2370c663e234d0f6a8a96c74cc7b4a28bdbcc71 Imminent
7d2cddf145941456c7f89eb0ecbbaabb1eb4ef0a 405dd0cf8527da5c586fa26b66ddcfad39febd61 AgentTesla
686e7c7e4767cc7198c71bc99596c226fbf1ab36 0de1d77d61f8a0132f1b6663351023e6b485615f NanoCore
03469616ce1ce960edbc6be814ca3ab86902067d 98f113a9d54688f7eec645855057a0910f1ebbf6 Azorult
aed69a2e740e789139118e3753107f9d892790c7 d5c7f3642d61a5297536e9aa0c4c3af9099cb247 Andromeda
05fec020078b53643cb14a8ec7db3f2aa131e572 0de1d77d61f8a0132f1b6663351023e6b485615f NanoCore
43fd77d2401618f8cc0a7ae63bc6bd5e52630498 f8c78342b9585588ec7a028e9581a93aeacb9747 NjRAT
06f327a1e115f3e1b42ffbcedc235d9c2f8a7811 945cdc67c1eb8fc027475a193ba206cf7ecd40b4 NjRAT
a81bc74373b5d948472e089877fa3b64c83c4fda 4d458a0b27e58ab7cf930c2ff55bfe4f083aa52d Remcos

从Windows用户路径到生成的payload的映射

加密器 (sha1) payload资源位置 恶意软件家族payload
3fae31b10d8154edd1bfcca1c98cc3f61a78fdac c:\users\user\desktop\update\kuppq\yrjuhhjhai Generic-VBA-Injector
ec33f922fb324d7d2d4ee567ceba4563c6700661 c:\users\robotmr\desktop\cipherit\sirlv\orzrfpubgq CyberGate/Rebhip
2ef17bc8b67f17fb5957c8edc969aa5bdcc1c76e c:\users\user\desktop\cypherit\kvmsr\sylgrnaoja Formbook
6a41eb6dbfe98444f126d42b1b5818767ced508d c:\users\user\desktop\cypherit\kxiav\vyuvenhftx Formbook
a9856ca5ecba168cc5ebe39c3a04cb0c0b432466 c:\users\lenovo pc\documents\cypherit\dbcfr\evzthiwzwv AgentTesla
50a250aeb3c685e04cd2fce62634d1b95920cbab c:\users\lenovo pc\documents\cypherit\afwuh\pakfxtjjtr AgentTesla
68dcb96a0f096dc9846bf8bd3a41eb6b1fc764b2 c:\users\hp\desktop\cypherit\feung\aegmywmuhw Remcos
55646431095967fc5d41d239de70a8ffbd8d0833 c:\users\robotmr\desktop\cipherit\jkvkh\povdgmqwwf NanoCore
65b0e55170715d14ed139a7e1cd1710685e19a7d c:\users\lenovo pc\documents\cypherit\tsdsn\owkywxlpuo AgentTesla
1625aa77ed24ed9d052a0153e1939b5a32b352ed c:\users\hp\desktop\cypherit\jmtby\vtlfqlhyjd Remcos
b199f2488849b3bcad92e85190d2525422b1a644 c:\users\hp\desktop\cypherit\zfmal\tenkocitdk Remcos
4f193f9724f8b37fe998f5d159ece8528f608fa9 c:\users\bingoman-pc\downloads\update\skcha\zaqwzrhyrj AgentTesla
8deb9352d11ed1057209fc572f401d83ad548b27 w:\work\client and crypter\crypters\cypherit\upjzw\crccbblvqr QuasarRAT
5387c0ead3450eaef1cc82e4c4a0b52982fb2952 c:\users\user\desktop\update\sldmr\sjmaqkecsw Generic-VBA-Injector
8973591f584f2b104559cc5bc73838ff0df0e50f c:\users\user\desktop\cypherit\cnbvs\detwldamdu Formbook
3e5bef4eaf3975de6573a2fd22ce66ad6c88c652 c:\users\bingoman-pc\downloads\update\qdpsr\xgvtxjugvj AgentTesla
4448b907f2c9f9ee8e4b13e4b6c292eef4b70930 c:\users\administrator\desktop\cypherit\fvtit\lhoqctjmjo DarkComet
e82e4a048cc66dfee9979a2db70e63b60a6aa3cb c:\users\user\desktop\cypherit\nnxsi\cuzgxaenow Formbook
0fd9c8c5c1275a0b9c6418bf55fe48bff4c56264 c:\users\hp\desktop\cypherit\tjkxp\hoilettosu Remcos
4c098028fa92129f9a40fb5f7fa3f3e60f9e2885 c:\users\bingoman-pc\downloads\update\blcmk\mspmisscix AgentTesla
ab2047929be29957da14dc9114009b149fd8c6b2 c:\users\pondy\desktop\cypherit\jfdvd\bhbwgnhlpt Imminent
6e75dc48ec0380e189f67ba7f61aff99f5d68a04 c:\users\bingoman-pc\downloads\update\qdpsr\nsskftnenb AgentTesla
ddf3a42a85fb4ae2fe5c86e7305265e8c46e52a9 c:\users\bingoman-pc\downloads\update\skcha\iljxbfjwjz AgentTesla
90d6f6bb6879862cb8d8da90c99cb764f064bc5a c:\users\user\desktop\update\usbad\lrmrmblvxz Generic-VBA-Injector
a293b6868a0b82621e94be1266d09c49f1ff7e0b c:\users\administrator\desktop\cypherit\zajlq\torabywgww Imminent
bdf0f4184794a4e997004beefde7a29066e47847 c:\users\bingoman-pc\downloads\update\xmhea\fezrqknxti AgentTesla
b12dda5c58fd6f6c83921007e14984f29f85f768 w:\work\client and crypter\crypters\cypherit\upjzw\fuwikvopxn NjRAT
a5944808c302944b5906d892a1fd77adaf4a309c c:\users\user\desktop\update\rotre\xmdklwilso Generic-VBA-Injector
bbcd6a0a7f73ec06d2fab527f418fca6d05af3a6 c:\users\user\desktop\cypherit\nnxsi\mswdkgevxa Formbook
1adc1f7d7fd258a75c835efd1210aa2e159636aa c:\users\user\desktop\update\zoddm\ocidiuboxz Generic-VBA-Injector
011e58cee3757035ca531b85b9cb9e3680a73ed5 w:\work\client and crypter\crypters\cypherit\upjzw\hmalcrldse QuasarRAT
50c2b8ac2d8f04a172538abaa00bcb5dc135bb12 c:\users\bingoman-pc\downloads\update\nhupn\lbddirvobk AgentTesla
6bdad0aae469313a8567ad1138a744dca74f1ecc c:\users\user\desktop\cypherit\cnbvs\utrjwnkjsd Formbook
823e2d3ef005d36b1401472dd5fd687a652b81b0 c:\users\robotmr\desktop\cipherit\xiwpy\ztcitplyof Imminent
7d2cddf145941456c7f89eb0ecbbaabb1eb4ef0a c:\users\bingoman-pc\downloads\update\roqli\kfkldukcus AgentTesla
686e7c7e4767cc7198c71bc99596c226fbf1ab36 c:\users\user\desktop\update\fteyl\enudngaemy NanoCore
03469616ce1ce960edbc6be814ca3ab86902067d c:\users\user\desktop\cypherit\cnbvs\keafqrogtw Azorult
aed69a2e740e789139118e3753107f9d892790c7 c:\users\administrator\desktop\cyperit\hkmzn\hwgracgvjt Andromeda
05fec020078b53643cb14a8ec7db3f2aa131e572 c:\users\user\desktop\update\drweo\distzbbkvx NanoCore
43fd77d2401618f8cc0a7ae63bc6bd5e52630498 c:\users\peter kamau\desktop\cypher\dzncz\gxrqkcdtpc NjRAT
06f327a1e115f3e1b42ffbcedc235d9c2f8a7811 w:\work\client and crypter\crypters\cypherit\upjzw\gkviexpzpl NjRAT
a81bc74373b5d948472e089877fa3b64c83c4fda c:\users\hp\desktop\cypherit\hxnfr\gzlyqzcgpj Remcos

原文地址:https://raw-data.gitlab.io/post/autoit_fud/
翻译 :看雪翻译小组 梦野间
校对: 看雪翻译小组 lumou



[公告]安全测试和项目外包请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最后于 2019-9-7 13:13 被梦野间编辑 ,原因: 将wrod转为markdown
上传的附件:
最新回复 (3)
梦野间 3 2019-9-7 13:17
2
0
发现writage这个word插件可以转markdown,把文章重新编辑了一下,方便大家看
Editor 2019-9-16 09:56
3
0
梦野间 发现writage这个word插件可以转markdown,把文章重新编辑了一下,方便大家看
感谢分享!
haijie 5天前
4
0
留个脚印,au3被玩坏了
游客
登录 | 注册 方可回帖
返回