首页
论坛
课程
招聘
[原创]练习1个Kimsuky样本
2022-6-8 20:27 8161

[原创]练习1个Kimsuky样本

2022-6-8 20:27
8161

一、ATP简介

Kimsuky是被认为来自朝鲜的APT组织。该组织善于利用复杂的东北亚地缘政治局势信息作为诱饵,主要针对韩国政府及韩美智库等机构进行钓鱼攻击。

二、概述

初始样本是一个伪装成PDFEXE程序,运行后释放诱饵文档xxx.hwp(韩文文档)以及另一样本Icon.pif,随后运行Icon.pif并传入参数“iDmzQtvReUSCdTn”:写入注册表使样本能自启动。随后复制自身到“C:\\ProgramData\\system32”目录下,修改名字为“smss.exe”并传入参数“zWbTLWgKymXMDwZ”,样本运行后会请求movie[.]youtoboo.kro.kr等待指令传入。

三、行为分析

开启监控程序,运行木马样本行为:

1. 设置4个注册表键值

2. 创建文件C:\ProgramData\210927 xxx.hwp

3. 运行“C:\ProgramData\Icon.pif iDmzQtvReUSCdTn”“C:\\ProgramData\\system32\\smss.exe zWbTLWgKymXMDwZ”

4个注册表键值设置

文件创建

Icon.pif样本

smss.exe样本启动


四、一阶样本

1)基本信息

MD

946f787c129bf469298aa881fb0843f4

时间戳

2021-09-11 15:33:3

CPU架构

X64


一阶样本中包含大量加密字符串,字符串通过解密函数解出所需函数。样本运行后释放1个诱饵文档和二阶样本。

2)功能推测

导入表中看到LoadLibraryAGetProcAddress函数,推测样本可能使用动态加载方式加载DLL和函数。

导入表

拖入IDA,查看LoadLibraryAGetProcAddress交叉引用,找到调用的函数sub_140001130。查找调用sub_140001130的函数,发现调用该函数前皆传入字符串。推测传入字符串用于解密调用DLL和函数。

加密字符串

动态加载函数

查看sub_140001360,由于该函数堆栈不平衡,无法使用f5反汇编代码,所以先平衡堆栈,随后动态调试确定各字符串含义(或者写脚本解密字符串)。

堆栈平衡后代码

3)动态调试

使用wsprintf拼接字符串,组成路径C:\ProgramData\Icon.pif。随后再拼接一个命令C:\ProgramData\Icon.pif iDmzQtvReUSCdTn”。


命令拼接


创建1个文件C:\ProgramData\210927 xxx.hwp并写入数据。创建C:\ProgramData\Icon.pif并写入数据后执行。

样本创建

样本写入

样本执行

至此一阶样本调试完成

五、二阶样本

1)基本信息

MD5

E33A34FA0E0696F6EAE4FEBA11873F56

时间戳

2021-09-11 09:13:44

CPU架构

X64

二阶样本通过2种参数执行不同功能。参数“iDmzQtvReUSCdTn”用于写入注册表添加自启动功能,期间拷贝自身并重命名为“smss.exe”并传入参数“zWbTLWgKymXMDwZ”启动新进程。参数“zWbTLWgKymXMDwZ”使用post方式请求域名movie.youtoboo.kro[.]kr,连接成功过后等待传入指令,共计19种指令。

2)第一个参数

二阶样本获取当前进程路径并该路径下创建system32目录,拷贝Icon.pif到该目录并改名为smss.exe写入注册表reg add hkcu\\software\\microsoft\\windows\\currentversion\\run”实现自启动,最后启动smss.exe并传入参数zWbTLWgKymXMDwZ”,连接CC等待指令

目录创建

创建smss.exe

写入注册表

样本启动

3)第二个参数

运行后样本将尝试使用post方式请求域名movie.youtoboo.kro.kr使用UAMozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36。样本一旦CC连接成功后,将等待传入指令,样本有19接收参数。

CC指令

功能

3

获取当前目录

4

修改文件日期

5

结束特定进程

6

获取特定进程信息

7

删除文件

8

创建新线程并尝试移动一个文件,失败则破坏

9

创建进程

10

注册DLL

11

分配内存空间,具体功能未知

12

读取文件

13

写入文件

14

获取系统时间

15

获取系统时间

16

删除注册表

17

获取主机名,计算机名,网卡信息

18

全局信息时间

19

获取%temp%目录

20

读取PMS*文件信息

21

读取PMS*文件信息

功能说明

指令3 获取当前目录

指令4 修改文件日期

指令5 结束特定进程

指令6 获取特定进程信息

指令7 删除文件

指令8 创建新线程并尝试移动一个文件,失败则破坏


指令9 创建进程

指令10 注册DLL

指令11 分配内存空间,具体功能未知

指令12 读取文件

指令13 写入文件

指令1415 获取系统时间

指令16 删除注册表

指令17 获取主机名,计算机名,网卡信息

指令18 全局信息时间

指令19 获取%temp%目录

指令2021 读取PMS*文件信息


看雪招聘平台创建简历并且简历完整度达到90%及以上可获得500看雪币~

上传的附件:
收藏
点赞7
打赏
分享
打赏 + 50.00雪花
打赏次数 1 雪花 + 50.00
 
赞赏  Editor   +50.00 2022/07/04 恭喜您获得“雪花”奖励,安全圈有你而精彩!
最新回复 (2)
雪    币: 1198
活跃值: 活跃值 (417)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
t0hka1 活跃值 1 2022-6-9 10:54
2
0
mark
雪    币: 9
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_lazqkwkb 活跃值 22小时前
3
0
样本是微步在线云沙箱上的?
游客
登录 | 注册 方可回帖
返回