【APT】响尾蛇（SideWinder）APT组织样本分析

基础信息

名称：NDC Participants.docx
类型：.doc
MD5：df020e81b7ca32868a8ac1f5eddd086f
描述：通过远程模板注入技术加载含有CVE-2017-11882漏洞的RTF文档，执行shellcode
　　　释放执行使用“DotNetToJScript”生成的经过混淆处理的js脚本（1.a）
　　　释放.NET DLL，利用白加黑执行最终RAT

样本分析

通过远程模板注入技术加载含有CVE-2017-11882漏洞的RTF文档

RTF文档通过CVE-2017-11882漏洞执行ShellCode（调试参考），在temp目录下释放1.a文件，该文件是使用“DotNetToJScript”生成的经过混淆处理的js脚本。

js代码调试的时候直接在最后一条指令下断观察上下文即可，不用每条指令去跟踪执行，其主要功能是通过反序列化解密执行.NET DLL的“Work”函数。回溯代码，可以在so变量解密后将数据拷贝到010 Editer，使用Base64解码，去除PE头之前的数据就能获取到.NET DLL。

StInstaller.dll

解密出：“StInstaller.dll”

Work函数主要功能是：拷贝rekeywiz.exe（系统白文件）到指定目录，并将其添加到Run注册表自启动，然后在同目录下释放Duser.dll等文件，最后通过创建计划任务来执行rekeywiz.exe用于加载Duser.dll进行白利用。

SyncFiles目录释放文件如下：

Duser.dll

Duser.dll如下：

Duser.dll主要功能是：解密同目录下的.tmp文件，获取后续DLL文件。
解密算法：获取.tmp文件前32字节作为key，循环异或解密.tmp文件后续内容。
注意：这里可以把算法扣出来，用py写个自动解密的脚本，下次遇到.tmp文件可以解密SystenApp.dll到本地，然后直接提取C2地址。

SystemApp.dll

解密出：SystemApp.dll（最终Rat远控）代码没有混淆，从类名可以推测出基本功能。

入口点是Program类的Start()函数。

public void Start()
{
    try
    {
        //获取“Default”资源数据,并将解密后的配置文件写入：C:\ProgramData\\SyncFiles\\Sync
        this.MementoObserverFlyweightRestore = StructureFlyweightClassDynamicChain.FlyweightInstanceCommandCommand();
        //定时器1: 连接C2服务器获取指令，执行对应功能
        this.TemplateStructureTreeRestricted = new Timer(new TimerCallback(this.BridgeAlgorithmEncapsulatedFacade), null, 5000, -1);
        //定时器2: 上传指定文件与fls/flc/sif/err后缀文件
        this.AlterCompositeTreeBridge = new Timer(new TimerCallback(this.CompositeGetGetObserver), null, 5000, -1);
        if (this.MementoObserverFlyweightRestore.InterfaceCompositePutSingle)
        {
            //获取系统信息，以Json格式保存到指定路径（C:\Users\admin\AppData\Roaming\SyncDat\xxx.sif）
            this.WriteSysInfo();
            this.MementoObserverFlyweightRestore.InterfaceCompositePutSingle = false;
            //获取配置信息，加密后写入本地文件（C:\ProgramData\\SyncFiles\\Sync）
            this.MementoObserverFlyweightRestore.ObjectAccessorTreeMediator();
        }
        if (this.MementoObserverFlyweightRestore.AlgorithmBridgeAlgorithmAlgorithm)
        {
            //获取磁盘文件信息保存到（C:\Users\admin\AppData\Roaming\SyncDat\xxx.flc）
            this.CompositeDecoratorCaptureComposite();
            //保存doc/xls/ppt等文件信息到（C:\Users\admin\AppData\Roaming\SyncDat\xxx.fls）
            this.StateAlgorithmAccessorGet();
            this.MementoObserverFlyweightRestore.AlgorithmBridgeAlgorithmAlgorithm = false;
            //获取配置信息，加密后写入本地文件（C:\ProgramData\\SyncFiles\\Sync）
            this.MementoObserverFlyweightRestore.ObjectAccessorTreeMediator();
        }
        Thread.Sleep(-1);
    }
    finally
    {
        try
        {
            //删除定时器
            this.TemplateStructureTreeRestricted.Dispose();
            this.AlterCompositeTreeBridge.Dispose();
        }
        catch
        {
        }
    }
}

获取配置文件：

从“Default”资源文件中获取配置文件数据：

get
{
    return (byte[])FacadeInterfaceAccessorTemplateSingle.AlgorithmStateCompositeRestoreNotify(FacadeInterfaceAccessorTemplateSingle.DynamicImplementationRequestImplementation, "Default", FacadeInterfaceAccessorTemplateSingle.EncapsulatedAdapterFlyweightData);
}

配置文件包含：回连C2、文件释放路径、敏感文件后缀等信息。

将配置文件加密后写入Sync：

获取系统信息：

获取系统信息，以Json格式保存到指定路径（C:\Users\admin\AppData\Roaming\SyncDat\xxx.sif）

获取文件信息：

获取磁盘文件信息，保存到（C:\Users\admin\AppData\Roaming\SyncDat\xxx.flc）

写入数据包含：磁盘、目录、文件等信息，用记事本打开时有些字段会显示乱码：

获取指定后缀文件：

获取doc、xls、ppt等后缀文件信息，保存到（C:\Users\admin\AppData\Roaming\SyncDat\xxx.fls）

 同样以Json格式保存到文件：

定时器1：

连接C2服务器获取指令，执行对应功能

定时器2：

上传sif、flc、fls、err等文件

 

 

 

 

 

 

 

 

-----------------------------------------