肚脑虫(Donot)APT组织新活动及Downloader梳理

肚脑虫(Donot)APT组织新活动及Downloader梳理

背景

近期,安恒威胁情报中心监测到疑似肚脑虫(Donot)组织新的攻击活动,并且Downloader做了更新,猎影实验室进行了梳理分析,并大致整理了该组织这类Downloader的演变史。

分析

恶意样本如107d25c7399b17ad6b7c05993b65c18e为包含恶意宏代码的文档,

运行恶意宏代码会弹出一个报错窗口,

66FE7A2B-6BCB-4D58-AB66-3254DD6E51BA.png

这算是Donot其中一个标志性的特征,

并会释放KB3179573 DLL程序和KB4507004.bat程序,通过计划任务来执行bat。和以往Donot组织样本具有相似的行为特性。

KB4507004.bat将KB3179573重命名成了inet.dll,并通过计划任务来执行inet.dll。以及另一个计划任务执行hostcom.exe。

inet.dll(MD5:d140f63ff050c572398da196f587775c)是一个下载者,较以往该组织下载者样本有明显的变化,但仍有相似特性的延续。

样本会判断是否存在hostcom.exe

71AA09A2-A3F6-4E3B-A4D3-C04FE1D89C0D.png

解密C2地址supportsession[.]live,

A91F6868-86F7-4C7F-9CC5-B19CAC13D9CD.png

并下载下一阶段载荷,保存为hostcom.exe,后续通过计划任务执行。

其中字符串解密算法为

该恶意文档样本最后修改时间为2020年03月17日,并且上传地为斯里兰卡,那么有可能是该组织在3、4月间对其发起攻击。

肚脑虫(Donot)Downloader演变梳理

肚脑虫组织使用恶意文档释放恶意程序的方式进行攻击,释放的恶意程序许多为下载器,随着时间推移,该组织会修改或完善代码,经过梳理,按时间顺序大致可以分为下面一些历史版本。

历史版本1:C# Downloader

如69a11a136572ba8ebfc53ffd7b58b675,直接进行下载执行

历史版本2:VC Download + yty

如59733668b3ad8056ffd4c5c9db876cbc,直接下载执行

历史版本3:Stage1-Downloader + Stage2-Downloader

如2320ca79f627232979314c974e602d3a + 68e8c2314c2b1c43709269acd7c8726c

Stage1直接下载执行

Stage2

判断当前进程路径,

与C2通讯,

根据返回数据是否为“no”、“cmdline”或其它来进一步操作,

下载文件

文件路径

历史版本4:Stage1-Downloader + Stage2-Downloader

如f67595d5176de241538c03be83d8d9a1 + e0c0148ca11f988f292f527733e54fca

Stage1直接下载执行

Stage2

同样会与C2通讯获取指令,

根据返回数据的Content-Type内容为

“Content-Type: application” 下载文件

“Content-Type: cmdline” 执行PE文件

“Content-Type: batcmd” 执行BAT文件

进行后续操作,

文件路径

历史版本5:Downloader

如4b1685d6d5586354f3c14aae13cf053f

同样会与C2通讯获取指令,

根据返回数据的Content-Type内容为

“Content-Type: application” 下载文件

“Content-Type: cmdline” 执行PE文件

“Content-Type: batcmd” 执行BAT文件

进行后续操作,

此版本已不直接出现明文路径,需要解密,

历史版本6:Downloader

如a23a1e85d5b93febfedec5f114dc540a

同样会与C2通讯获取指令,

根据返回数据的Content-Type内容为

“Content-Type: application” 下载文件

“Content-Type: cmdline” 执行PE文件

“Content-Type: batcmd” 执行BAT文件

进行后续操作,

此版本也并没有直接给出明文路径,而且换了另一种加密算法。

历史版本7:Downloader

如8b640d71f6eda4bdddeab75b7a1d2e12

同样会与C2通讯获取指令,

此版本明文字符串也被加密,包括User-Agent等,算法与版本6相同,

同时返回数据的Content-Type指令名称发生变化,

“Content-Type: application” 下载文件

“Content-Type: xDvsds” 执行PE文件

“Content-Type: Bw11eW” 执行BAT文件

版本8:DLL Downloader

使用和版本6、版本7相似的加解密算法,

解密算法

同样具有下载功能,回连地址、user-agent都被加密,

小结

肚脑虫(Donot)延续了以往的一些代码、行为特性,并仍在不断更新代码,应用在持续的攻击活动中。

IOC

MD5

107d25c7399b17ad6b7c05993b65c18e

d140f63ff050c572398da196f587775c

b64708c07e1615286d0aa1dff22fa0dc

a9d6d2d93eda11e89ed2ca034b81e6ef

8b640d71f6eda4bdddeab75b7a1d2e12

Domain

supportsession[.]live

requestupdate[.]live