蔓灵花(APT-C-08)是一个拥有南亚地区政府背景的APT组织,近几年来持续对南亚周边国家进行APT攻击,攻击目标涉及政府、军工、高校和驻外机构等企事业单位组织,是目前较活跃的针对我国境内目标进行攻击的境外APT组织之一。
近两年蔓灵花的攻击流程上并未有较大的变化,依旧以投递恶意文档文件(如公式编辑器漏洞文档、chm文档、宏文件等)作为主要的攻击入口,而此类型的样本也被多次分析,此处就不再多做赘述。
通过对蔓灵花的基础设施进行分析,我们捕获到多个由蔓灵花APT组织服务器下发的多个msi文件。在这些msi文件中,存在部分msi中包含vbs文件。vbs文件的功能多为重命名并执行一同被释放的组件程序。值得注意的,蔓灵花在vbs文件中会通过“Explorer.exe”代理运行程序,并且在捕获的多个vbs文件的下方均存在字符串“asdasdasdad”。
程序中对使用到的字符串数据进行了混淆,解混淆代码如下:
调用 WSAStartup() 函数进行初始化,若初始化失败,则重启自身程序。
在成功连接之后,会将设备信息上传到服务器。随后创建两个线程用于与服务器交互。
线程1每隔120秒会发送字符‘X’到服务器。我们推测该线程应当是被用于通讯中的心跳检测。
指令1 | 指令2 | 功能 |
0 | F@ngS | 打开一个文件流 |
lstcts | 上传设备信息 | |
DXXXDXXX | 发送本地磁盘信息到服务器 | |
DEXDXXL | 删除指定路径文件 | |
Search | 搜索文件,将文件信息发送至服务器 | |
remoteControl | 无功能 | |
restart | 重新启动自身进程 | |
2、3、4、7、9、10、13、14 | 无功能 | |
1 | 向服务器提供远程shell | |
5 | 关闭指令“F@ngS”中打开的文件流 | |
6 | 接收文件数据,写入指令““F@ngS”打开的文件路径中。 | |
8 | 打开文件,并向服务器上传数据,单次上传字节0x2000 | |
11 | 上传文件数据(单次上传0x2000字节及以下) | |
12 | 搜索指定路径的文件/文件夹,将文件信息发送至服务器 | |
15 | 搜索指定路径的文件/文件夹,将文件名发送到服务器 |
MD5:
42a41d16ff581152bd8d8a31e22f0ba9
cded64837038eb2fd13ca0e385fa082f
fd37560c80f934919f8f4592708045f3
1b73b3249ea689c17f9f798c48a9ce0c
d18002da03d005fbb51170a540945077
88bc0e6bf5526ad83470f637f5a166da
a1777bafc411797c86394a9f05cfd077
36a6a6c2bb1feb1a0f632b4e48dda0e3
42a41d16ff581152bd8d8a31e22f0ba9
06e9a301a7f5457a5794c425ff5cab61
71e1cfb5e5a515cea2c3537b78325abf
89df83297ed7eb8caca9a6ffd8b47dcd
1a220a49ef5add9bf65d8b1aee44b792
correntrollpanel.net
wizbizkidshow.biz
nymedsvcsystems.com
nesiallservice.net
kryoblockbind.net
lltdifslogsvc.net
Plprasvchost.net:59600
185.117.73.195:59600
360高级威胁研究院