CharmingKittenAPT技术手段分析

APT 2个月前 admin
118 0 0

CharmingKitten网络间谍组织来自于伊朗,被称为迷人的小猫咪,最早Behzad Mesri伊朗人因攻击HBO被起诉,确定了属于该成员。
该组织攻击目标伊朗学术研究、人权和媒体相关的人,反对伊朗国内外生活的人,以及伊朗事务的记者、媒体转载有关伊朗的政治顾问等,受害者多数生活在伊朗、以色列和美国等个人,也有一些瑞士、印度、丹麦等地区国家人士。

CharmingKittenAPT技术手段分析

样本组件分析:

.Lnk

诱惑点击执行powershell,如下所示:

CharmingKittenAPT技术手段分析

提取Hex_Powershell,如下所示:

CharmingKittenAPT技术手段分析

http://uploader.sytes.net/download/slideshow/1.jpg
http://uploader.sytes.net/download/shortcut.exe

关联下载

md5:f9255e0d492eb20df1e78ccc970b121a

CharmingKittenAPT技术手段分析

感染流程

CharmingKittenAPT技术手段分析

.Exe

创建SpoonBuSter目录,拷贝自身到目录重命名为dwm.exe,添加自启动,Shell执行。

CharmingKittenAPT技术手段分析

解密加密字符,利用CreateThread分发恶意进程.

CharmingKittenAPT技术手段分析

0023AD40 WIN-0LRR8CGQ4H6-A1B5-685B-BD05-4273-E932

利用WinClass注册窗口回调,执行恶意连接:

CharmingKittenAPT技术手段分析

解密网络信标:

CharmingKittenAPT技术手段分析

http://microsoft-utility.com/update/post.php

-----BEGIN PUBLIC KEY-----
..MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKB
gQDPlwHiG068RYDD1NLvCFAWNMs6..VR4I2kNuTei/+rCnUuj92hDFFXrntXIi7L
Ln8XsB3ls1sJ0RcAcrKVzQgzY+DOOT..A4dhOpFlO3v/bj3OwRqCdNJwJJfpYCBY
QaLND9eo49BCK+pwVVB55TJYjCkVowGx..ZfJJdjYc3oDZKbKOawIDAQAB..
-----END PUBLIC KEY-----

利用WMI执行系统数据查询,XML格式保存,如下所示:

CharmingKittenAPT技术手段分析

CharmingKittenAPT技术手段分析

CharmingKittenAPT技术手段分析

 

CharmingKittenAPT技术手段分析

唤醒窗口回调,执行InternetConnectC2分发:

CharmingKittenAPT技术手段分析

CharmingKitten分发比较有特色,利用窗口回调连接服务器,返回成功响应报文0x200,执行C2命令和数据。

CharmingKittenAPT技术手段分析

.Net

载荷阶段释放本体/启动

CharmingKittenAPT技术手段分析

CharmingKittenAPT技术手段分析

生成配置文件:

CharmingKittenAPT技术手段分析

CharmingKittenAPT技术手段分析

程序持久化

CharmingKittenAPT技术手段分析

WinrarContainer分析

加载SU.DLL,如下所示:

 

CharmingKittenAPT技术手段分析

 

CharmingKittenAPT技术手段分析

Rundll32.exe-PChunter查看模块已加载,如下所示:

CharmingKittenAPT技术手段分析

SU.DLL分析

连接服务器,如下所示:

CharmingKittenAPT技术手段分析

读取MU目录下窃取的浏览器Cookies和截屏流,发送服务端:

CharmingKittenAPT技术手段分析

CharmingKittenAPT技术手段分析

启动keylogger.Start

CharmingKittenAPT技术手段分析

HKeylogger线程下断,获取当前活跃窗口记录:

CharmingKittenAPT技术手段分析

ScreenShotProc回调分析

读取Command.txt数据,写入文件(文件名随机).

CharmingKittenAPT技术手段分析

.Apk

图标Aida006,运行后界面显示Button按钮,如下所示:

CharmingKittenAPT技术手段分析

包名.net.droidjack.server,启动服务(new Controller),如下所示:

CharmingKittenAPT技术手段分析

CharmingKittenAPT技术手段分析

功能分析

Am

CharmingKittenAPT技术手段分析

Bt

方法模块中包含ag/bm模块,ag/bm模块SQL初始化,如下所示:

CharmingKittenAPT技术手段分析

CharmingKittenAPT技术手段分析

Ah

CharmingKittenAPT技术手段分析

Q

CharmingKittenAPT技术手段分析

By

CharmingKittenAPT技术手段分析

F

CharmingKittenAPT技术手段分析

CA

调用CE模块,负责Http回连,如下所示:

CharmingKittenAPT技术手段分析

B

CharmingKittenAPT技术手段分析

A

CharmingKittenAPT技术手段分析

Be

CharmingKittenAPT技术手段分析

Bz

CharmingKittenAPT技术手段分析

Bf

CharmingKittenAPT技术手段分析

Cf

CharmingKittenAPT技术手段分析

Client

CharmingKittenAPT技术手段分析

 

CharmingKittenAPT技术手段分析

数据分析

C2域分析

样本数量小于1万

域名投影

CharmingKittenAPT技术手段分析

CharmingKitten恶意域名如下:

nvidia-update.com
nvidia-support.com
asus-support.net

抛去污染节点,共享边表明恶意软件很有可能通过schmas.microsoft.com-google.com等白域名测试主机网络是否可达。

二分网络

CharmingKittenAPT技术手段分析

从域名映射到样本共享边距非常紧密

原文始发于先知社区(一半人生):CharmingKittenAPT技术手段分析

版权声明:admin 发表于 2024年2月22日 上午11:14。
转载请注明:CharmingKittenAPT技术手段分析 | CTF导航

相关文章