环境方面

网络方面

分析样本要断网
分析样本要断网
分析样本要断网
我的做法比较保险,就是直接卸载了虚拟机的网卡,但是这样偶尔会有有一些弊端,比如由于检测不到网卡,样本的很多行为会直接异常或者终止,另外一种方案是手动配置虚拟机的网卡,设置到一个不通的网段。

断网分析主要是两个方面
1是防止攻击者发现样本已泄露提前关闭C2
2是防止自己虚拟机被攻击者控制和恶意利用从而导致未授权访问等。

样本保存

分析机上应该卸载所有的杀毒软件,一定要卸载,并且最好不要在win10上保存,如果保存请关闭windowsdefender的自动上传功能,具体可以参照之前沙猫白送4个0day给卡巴斯基的事件。
还有一个很关键的就是,要设置样本所在目录不能被执行

  1. 运行gpedit.msc

image.png

  1. 新建规则路径

image.png

  1. 设置不可执行

image.png

现在在该目录下的所有文件都不能执行了,包括快捷方式:
image.png

常用的在线资源

关于APT的维基百科,里面有很多参考链接可以学习
https://en.wikipedia.org/wiki/Advanced_persistent_threat

Mitre ATTCK总结的APT
https://attack.mitre.org/groups/G0079/

APT Map 地图形式呈现APT组织
https://aptmap.netlify.app/#Comment%20Crew

泰国的APT卡片,也很有意思
https://www.thaicert.or.th/downloads/files/Threat_Group_Cards_v2.0.pdf

Fireeye关于APT的报告主页
https://www.fireeye.com/current-threats/apt-groups.html

平底锅首页
https://unit42.paloaltonetworks.com/?pg=1#all

开源威胁情报平台 opencti
https://github.com/OpenCTI-Platform/opencti

卡巴2020 q2报告
https://securelist.com/it-threat-evolution-q2-2020-pc-statistics/98292/

卡巴2018 报告
https://securelist.com/apt-trends-report-q2-2018/86487/

卡巴关于KimSuky报告
https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/

卡巴报道的第一篇KimSuky
https://securelist.com/the-kimsuky-operation-a-north-korean-apt/57915/

esets关于KimSuky报告
https://blog.alyac.co.kr/3228

查询恶意家族
https://malpedia.caad.fkie.fraunhofer.de/

插件/工具

IDA

IDA7.5的符号拉取服务器:
Lumina
https://lumen.abda.nl/
配置方法:
image.png

脚本调试

写入文件

JavaScript
  1. function writeFile(filename,filecontent){ 
  2.     var fso, f, s ; 
  3.     fso = new ActiveXObject("Scripting.FileSystemObject");    
  4.     f = fso.OpenTextFile(filename,8,true); 
  5.     f.WriteLine(filecontent);   
  6.     f.Close(); 
  7.     alert('write ok'); 
  8. }

js读文件
  1. function readFile(filename){ 
  2.     var fso = new ActiveXObject("Scripting.FileSystemObject"); 
  3.     var f = fso.OpenTextFile(filename,1); 
  4.     var s = ""; 
  5.     while (!f.AtEndOfStream) 
  6.   {
  7.       s += f.ReadLine()+"/n";
  8.   } 
  9.     f.Close(); 
  10.     return s; 
  11. }

VBA
  1. Sub AutoOpen()
  2.     Dim fso As Object
  3.     Dim myTxt As Object
  4.     Dim MyFName As String
  6.     MyFName = "C:\Users\xxx\Desktop\VBAStomping\1.txt"
  7.     Set fso = CreateObject("Scripting.FileSystemObject")
  8.     Set myTxt = fso.CreateTextFile(FileName:=MyFName, OverWrite:=True)
  9.     myTxt.Write "ABC"
  10.     myTxt.Close
  11.     Set myTxt = Nothing
  12.     Set fso = Nothing
  14. End Sub

VBS
  1. Dim fso,tf
  2.   Set fso =  CreateObject("Scripting.FileSystemObject")
  3.   Set tf = fso.CreateTextFile("C:\Users\xxxx\Desktop\1.txt", True)
  4. tf.WriteLine("File_Content")
  5.   tf.close