0x00 背景

此样本是在Twitter上看到的
image.png

从这条Twitter中可以看到如下几个信息。

  1. 文件hash:1c00819f073701cf861331fff3c69ea6
  2. 样本C2:113.160.165[.]75
  3. 样本运行方式:从上面那个地址下载payload到本地
  4. 初始样本类型:LNK
  5. 样本针对目标:vietnam(越南)
  6. 原始样本攻击载荷:HTA&VBS
  7. 样本诱饵:COVID19相关
  8. 样本归属:疑似APT,但是在Twitter中并没有看到归属组织。

此外,在此条Twitter的评论中可以看到如下信息:
image.png

我们可以进一步的知道,样本的C2应该是:113.160.165[.]75:53896
并且这里的vt链接,不出意外的话应该就是后续的payload。

跟随这个VT链接过来,可以看到这是一个仿冒explorer.exe的应用程序
image.png

根据微软和其他vt上杀软的检出名来看,很大概率是Nanocore rat。 与AgentTesla类似,Nanocore也是一款知名的C#商业远控马。
image.png

现在背景了解完成,我们大概可以推算样本的执行流程应该是原始LNK文件执行之后,运行包含VBS代码的HTA.

0x01 LNK样本分析

样本在app.any.run有下载链接:https://app.any.run/tasks/65a419c9-2ced-4352-9122-e5ed60debabf/

样本下载到本地,添加LNK后缀,显示如下:
image.png

右键查看文件的属性,找到target属性值
image.png

这里的target值是:C:\windows\system32\cmd.exe /c start “” “mshta” “%CD%\TB_1179_Covid19.pdf.lnk”

当lnk文件被执行之后,实际上就会执行target中的语句。

所以这里文件被执行之后,将会尝试通过mshta加载当前目录(%CD%)下的TB_1179_Covid19.pdf.lnk文件。

mshta全程为Microsoft HTML Application,是Windows系统下用于执行HTA应用程序的文件。这里使用mshta调用加载该lnk,也就是这个lnk文件中会包含一段可被html识别的代码。

所以我们可以知道,这个lnk文件的原始文件名应该是TB_1179_Covid19.pdf.lnk

这是一起以Covid19(新冠肺炎)为诱饵的钓鱼攻击。

我们将下载下来的文件重命名为TB_1179_Covid19.pdf.lnk并且双击打开(断网环境下)

由于断网的原因触发了一个脚本错误。
image.png

这里可以直接尝试通过文件编辑工具打开该LNK文件,提取对应的代码。
image.png

这里可以看到,上半部分是LNK文件的结构,在文件后面,有一段HTML代码。

且可以看到,在该段HTML代码中,主要是依靠