使用NB Exploit Kit攻擊的APT樣本分析——直接看流程圖，就是網頁掛馬，利用java和flash等漏洞來在你主機安裝和運行惡意軟件

使用NB Exploit Kit攻擊的APT樣本分析

from： https://cloud.tencent.com/developer/article/1092136

 

一、原由

近期，安恆工程師在某網絡中部署的APT威脅分析設備中發現一條高危告警，該告警包含了較多可疑行爲，包含在沙箱運行環境中進行增長自啓動、建立網絡套接字鏈接、讀取網絡文件、收集磁盤信息、獲取當前用戶名信息等敏感內容，並經過對原始報文分析發現該樣本的下載連接也存在較大的可疑性，通過對告警內容的初步分析，基本能夠推測多是一種網頁溢出攻擊（也叫掛馬攻擊）：

二、分析

分析感染流程

而後，進一步 使用工具下載告警的網頁，分析「index.htm」發現其使用了RES協議(「res://」)進行本地文件探測。

探測的目標包括： 360 金山 卡巴斯基

當用戶電腦中並未安裝上述軟件時，瀏覽器會加載一個叫＂win.html＂的頁面

分析＂win.html＂

下載後發現它的代碼全被混淆加密，看着頭痛。

格式化處理一下代碼，分析發現它爲了防止爬蟲抓取該頁面，對userAgent進行了判斷處理，以及爲了防止屢次感染，對cookies值進行特定設置。

這是比較經典的Exploitkit（溢出工具包）裏面經常使用手法，而且在代碼的中發現了可疑＂NB VIP＂字符串，推測多是NB 或者是CKExploit kit。

繼續分析發現，它包含有針對不一樣版本的java的攻擊，在其中的一個jar的調用中發現了很是有名的拼音」woyouyizhixiaomaol」，」conglaiyebuqi」。即「我有一隻小毛驢我歷來也不騎」

以及反編譯jar包中也包含了相似信息：

另外還有針對Flash、Silverligh、IE各個版本的不一樣Payload攻擊，可是筆者在下載時連接無效，不能正常下載。

分析整個代碼流程，筆者作了一個流程圖：

最後溢出成功後會下載叫「calc.exe」的惡意文件並運行。

在虛擬機中使用瀏覽器打開惡意頁面，並用抓包工具進行抓包，重現了整個過程：

可是抓包的結果顯示它還下載了其餘的exe程序，因此筆者對下載的程序進行分析。

惡意程序calc.exe分析

分析發現calc.exe主要的功能是使用wmi技術收集用戶電腦信息，併發送遠程服務器進行統計

讀取遠程配置文件，下載配置文件中惡意程序並運行。

這個過程和咱們抓包看見的結果同樣。

分析iexplore.exe

這個木馬運行後，它會在內存解密出一段加密url，其實ip就是惡意域名解析後的ip地址

備註：在網址「<|>」以後都是exe程序，它們每一個存在服務器上。

接着它會每秒鐘檢索進程，判斷是否存在和解密數據中同樣的程序，若是存在，便拼接url後下載程序並運行。即：

url中的程序都是各類遊戲的盜號木馬。總類比較多，大概有40多個，基本都加殼處理，且每一個惡意程序運行後還會釋放文件。

盜號的方式各類各樣，這裏拿惡意的QQ.exe簡單程序舉例。

假的QQ.exe運行後會關閉正在運行的qq，並從百度圖片下載一張假裝的QQ登入截圖

經過建立假的qq登入節目進行欺騙攻擊

最後把用戶輸入的qq號和密碼發送到以下惡意地址：http://14.***.***.227:8***/xx/fen/ly01/lin.asp

分析smss.exe

它是一個vb的程序，運行後它會收集用戶電腦信息，並從連接某mssql數據庫，使用sql語句讀取遠程服務器數據（url），並下載運行。

因爲程序硬編碼了的用戶名和密碼，筆者使用工具成功登入了這臺數據庫服務器：

數據庫裏存的數據是惡意url和統計url，這樣與咱們分析的結果相符合。

總結

通過安恆研究團隊發現全部樣本都存在大量中文編碼能夠確定是一塊兒國內團伙所爲。在APT攻擊趨勢愈來愈普及化的今天，當前網絡中面臨大量的複雜安全威脅，好比一些新型惡意代碼溢出等，這些威脅對於傳統的防火牆、殺毒軟件都很難有效識別，所以必須採用專用的APT威脅分析產品來彌補傳統安全產品的缺陷，及時感知和分析當前網絡中存在的各類新型威脅。