黑格莎样本思考

hjm666

   
样本ioc

---

CV_Colliers.rar
df999d24bde96decdbb65287ca0986db98f73b4ed477e18c3ef100064bceba6d
Project link and New copyright policy.rar
c3a45aaf6ba9f2a53d26a96406b6c34a56f364abe1dd54d55461b9cc5b9d9a04

来源：https://blog.malwarebytes.com/threat-analysis/2020/06/higaisa/   相传是 Higaisa （黑格莎）APT 的样本


样本行为特征
   恶意的LNK快捷文件，无网络请求，运行就释放文件。双击就中招你值得拥有。


样本标签信息

---

原始文件名    Conversations - iOS -Swipe Icons - Zeplin.lnk
md5              45278D4AD4E0F4A891EC99283DF153C3
文件大小       104 KB (106,496 字节)
文件格式        Windows shortcut
时间戳           2020-05-11 09:03:01
数字签名       无


分析过程

---

压缩包解压后是两个LNK链接，加一个PDF文件。

PDF文件正正经经，就是告知你你侵我Zeplin公司的权啦云云，没不搞这东西不认识这公司，反正看着就和真的一样，说不定真是真的。。。。

然后就你要去看看你侵它什么权了，点开web lnk文件后就中招了。看大小就居心不测

一般看这种快捷方式文件直接右键属性里基本能看到这个快捷方式文件要执行什么命令，但这里有知识点了，敲黑板记笔记···
   这样看的话只能看到长度为长度为260大小的命令，然后把这命令行长度限定的是4096个字符个长度，超过260长度大小的命令会被隐藏····
知识点地址：https://xz.aliyun.com/t/4143   
话说了我怎么没找到专门分析查看lnk文件的工具，有的老师傅记得推荐一下。

emmmm  没有工具的我就直接记事本看了害，稍微处理一下还是能看的。二进制查看工具也可

自个处理了下的执行的命令。
    提取出来的命令主要用于将lnk文件重命名为g4ZokyumB2DC.tmp存储在%TEMP%文件夹,以及调用findstr.exe从lnk文件从定位被base64加密后的数据并调用gosia.exe对其解密。
    解密后字符后是一个cab压缩包数据，并提取出压缩包内的文件将其存放在%TEMP%文件夹内的同时执行JS恶意脚本文件以及执行伪装的url文件，且将含有shellcode的tmp文件复制到计算机的【C:\Users\Public\Downloads\】目录下。  
主要的吧，就是那个查找"TVNDRgA"字符定位字符位置，和解密的操作，其它的吧直接看代码一目了然反正就生成了很多文件

喏.重点的压缩包文件。

然后就是执行的JS脚本。将就看吧，不整理了。。
     JS脚本将svchast.exe重命名为【officeupdate.exe】分别复制到【C:\Users\Public\Downloads\】下载文件夹和计算机启动文件夹【%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\】内并对其设置计算机任务计划建立持久化。
    还利用cmd程序执行【ipconfig】命令将结果发送到目标服务器脚本内，收集一波内网信息，为后续攻击做准备。
    svchast.exe是一个VC编译的64位加载器，主要功能就是侧加载3t54dE3r.tmp运行

然后就是主要的文件程序都已经释放到位了，就该上线等指令了
Shellcode为动态解密多次进行校验数据和字符是否加载完，解密了资源后建立多个线程执行其行为，最终向C&C服务器发送加密上线请求，由于该服务器已经暂停了服务也无法了解攻击者的后续攻击行为。
    很朴素的shellcode也不粘什么图了，直白白的就想着上垒，不给验货不给嫖，呵！真让人寒心！！


    然后有趣的事情来了，众说周知，分析APT样本最主要的工作就是————【判定是哪个APT组织的】 子凭母贵，呵！ 无论你样本再优秀，关联不到组织你就不能做最靓的仔，就算你抓到是方程式的样本不能判定是这个组织也没有用。只能划为黑产不明组织，，，，（黑产冤枉）
  样本披露的时间比较近是2020年6月4号披露的，所以还有些信息能够去挖掘。

组织关联

---

   emmm  先假装我没看过这个报告，就根据分析样本获取到的信息去关联。。
首先找找这个组织的特征信息等
   组织是2019年11月份腾讯披露的，虽说这个组织2016年以来的攻击信息就已经截获了，但之前一直认错这位同志了。攻击手法自腾讯的报告说主要是利用节假日的祝福进行攻击。
  RAT常用的是gh0st（大灰狼）   【emmmm 写到这发现没有去搜索到之前未辨别前的报告去看看，失策失策，不过也不太影响后面的】
  根据腾讯的报告以及样本的回连域名ip等信息没有什么收获，没有获得到能与之相关联的信息后，我再返回去看披露报告是怎么确定组织的··


唯一发现有对其作关联的字眼是

然后我就跟过去看嘛，是anomali 出的报告，报告披露的是利用新冠肺炎的消息进行攻击的APT组织，然后它文章里判定是黑格莎组织的信息是。。。。
  emmm  行为特征和这次的披露的样本基本一样，没毛病。。。

文章上说是，样本回连的域名对应承载的ip在他们情报库里显示以前黑格莎2020年1月到3月份使用过了，然后就是哦，都还是他用过的ip没错就是它了。
本着严谨的想法，一个ip可以承载多个域名的情况下，我继续去关联了下这个回连地址的信息，有趣的事发现了···
https://x.threatbook.cn/nodev4/domain/motivation.neighboring.site


EmissaryPanda ?  APT 27 ? 你在逗我？ 有这么巧的事？ 我就去找了找，还真给我找到报告了··  
  Cyberint的报告还是关于新冠肺炎的报告，里面的样本和anomali 报告里披露的一毛一样，只不过判为是EmissaryPanda了··· 百度机翻··

我就懵了···好吧，理理时间线····
2020.3.23号
        https://www.anomali.com/blog/cov ... ying-sophistication
        报告了说捕获的样本说判定是黑格莎，攻击行为形似，在它的情报库里说这是黑格莎使用过的 ip
        情报库里说是2020年1月到3月的Ip 信息捕获到就说是黑格莎了，但我外网搜过了就这篇文章上有这个ip的ioc信息，说！你还藏着捏着啥信息了!
2020.4
        https://e.cyberint.com/hubfs/Cyb ... 0Summary-Report.pdf   
        里头把同一个样本判为EmissaryPanda了，再此之前没有搜索到有效的信息了
2020.6.4号
        https://blog.malwarebytes.com/threat-analysis/2020/06/higaisa/    里说这次攻击行为和上次anomali披露关于新冠肺炎报告里的一致


？？？ 这到底是哪个组织的？？  你们都是怎么关联是哪个组织的？教教我我要学！！  各位师傅能交是否能传授一点功力给我

hhhdddlll

大佬NB，学习了

qcz00622

大佬牛X,学习精髓

IBinary

想看命令行可以用 Process Moniter 可以看到命令行. 直接扣出来看.

a1069517910

感谢楼主分享！

17696091221

谢谢分享，级别高

a2376641a

感谢楼主分享，学习了。

fnycwfj

仔细研究才行，不好懂

wapjdyh

感谢楼主分享！！！

13608461856

插眼分享