threatBook匿名用户
IOC 5

threatBookthreatBook

APTdonot
Donot APT Group最近的活动
匿名用户
2019-05-26 12:12:54ThreatBook1013

为了美观和直白 样本的部分函数和变量进行了重命名处理



样本类型:xls



样本hash:

0108a194e11a2d871f5571108087c05d



样本文件名: Credit_score.xls 



C2:http://servicejobs[.]life/





样本流程:



第一阶段:macro

启动宏后执行宏去获取%appdata%路径,在此路径下释放一个zip文件(x6teyst.zip),然后通过检查bat文件(x6teyst.bat)是否存在,解压zip文件到根目录(x6teyst.bat x6teyst.txt)后,执行bat文件,并且弹出文件损坏的假标识



第二阶段:x6teyst.bat

bat调用md命令创造几个文件夹,再将其用attrib设为隐藏 系统 存档属性 然后进行一些删除不必要文件的操作以及记录计算机名称 再删除zip文件然后将tx6teyst.txt文件重名并移动为yldss.exe.然后将yldss.exe添加到计划任务进行持久化控制



第三阶段:yldss.exe

与C2服务器进行交流



技术特点:习惯于使用解压的操作以及宏中用函数套函数的写法,并且偏向于将payload藏匿在宏的form窗体里



详细分析:


第一阶段:macro

函数unRafzaizip()调用shell.application执行

shell.application.amespace(压缩包文件路径).CopyHere shell.application.Namespace(文件解压路径).items 去解压zip文件

参考链接:https://exceloffthegrid.com/vba-cod-to-zip-unzip/


函数getpath()通过对路径的拼接返回%AppData%\下的路径


函数loadRafzaipro()调用shell函数隐藏执行


函数userRafzailodr()第一阶段的主体部分


首先生命几个路径变量后,通过getpath()函数去获取%AppData%的路径后,对bat路径以及zip路径进行字符串拼接


bat路径:%AppData%\x6teyst.bat

Zip路径:%AppData%\x6teyst.zip


接着通过从宏项目的form窗体中提取被!所分割的payload然后用split去除!的分割并且将其转化为字符数组的形式


再打开之前的zip的路径,以二进制的形式写入转换为字符数组的payload,然后保存


检查是否有bat文件路径存在 如果不存在就调用unRafzaizip()函数去解压zip文件到该目录下并且执行bat文件


d1.jpg

d2.jpg

第二阶段:bat文件

利用md命令创建


如图的四个文件夹


将其中的三个利用attrib +s +h +a命令设置为隐藏 系统 存档属性 (可能是为了不被发现)


使用del命令删除多余的文件


删除zip文件


x6teyst.txt移动到目标文件夹并且重命名为yldss.exe


yldss.exe设置成计划任务以实现持久化


最后删除自身

d3.jpg

第三阶段:yldss.exe

没详细分析,欢迎大佬继续补充

c2通讯



其他关联样本hash:

81e766f61ab88bec3ffcb53b817e1c51

dc94af615c0baf3b0dcbbb71750917fc

展开全部ThreatBook

威胁指标(IOC)

IP端口域名样本标签
179.43.170.1550411
Hash检测结果样本标签
0108a194e11a2d871f5571108087c05d8/2502
81e766f61ab88bec3ffcb53b817e1c518/2500
dc94af615c0baf3b0dcbbb71750917fc7/2500
url
threatBookservicejobs.life/
2

评论

ThreatBook
已经到底了,没有更多内容了