APT28分析之Seduploader样本分析
字数 2427 2025-08-05 08:18:36

APT28组织Seduploader样本分析教学文档

1. APT28组织概述

APT28(又称Fancy Bear、Sofacy)是与俄罗斯政府相关的高级持续性威胁(APT)组织,专注于针对政府、军事和外交目标的网络攻击。

主要特点:

  • 使用复杂的社会工程学攻击
  • 开发和使用0day漏洞
  • 多平台攻击能力(Windows和OS X)
  • 模块化恶意软件设计

2. Seduploader样本概述

Seduploader是APT28组织使用的第一阶段后门程序,主要用于侦察和下载第二阶段恶意软件。

基本特征:

  • 包含Carberp开源木马的代码
  • 有Windows和OS X版本
  • 具备反分析能力
  • 支持多种C&C连接方式

3. 样本交付方式

3.1 主要攻击向量

  1. 鱼叉式钓鱼攻击

    • 通过包含恶意Office文档的钓鱼邮件传播
    • 使用CVE-2015-1641漏洞(Microsoft Word漏洞)

  2. 水坑攻击

    • 使用Sedkit漏洞工具包
    • 主要利用Flash和IE漏洞

3.2 样本信息

文件名称 SHA-256哈希值 创建时间 文件大小
btecache.dll c2551c4e6521ac72982cb952503a2e6f016356e02ee31dea36c713141d4f3785 2016-05-20 13:16:01 51.0 KB (52,224字节)
svchost.dll 69940a20ab9abb31a03fcefe6de92a16ed474bbdff3288498851afc12a834261 2016-05-20 22:58:15 32.5 KB (33,280字节)

4. 持久化机制

恶意DLL通过以下注册表项实现持久化:

HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf

每次打开Office程序时,会加载btecache.dll,从而实现恶意代码的持久运行。

5. 与Carberp木马的关联分析

样本中发现了大量与Carberp开源木马相同的代码:

  1. Getkernel32函数:API获取方式相同
  2. RC2密钥:加密密钥相同
  3. 代码结构:多个功能模块的实现方式高度相似

6. btecache.dll分析

6.1 主要功能

  1. 进程检查:只针对Word进程启动
  2. 互斥体创建:创建名为"ASLIiasiuqpssuqkl713h"的互斥体
  3. 模块加载
    • 拼接svchost.dll的释放路径
    • 将"begin"字符串作为参数传递给svchost.dll
    • 将自身复制到新内存中并开启线程
    • 加载svchost模块并执行其"begin"导出函数

7. svchost.dll分析

7.1 通信机制

  1. 互斥量创建:创建名为"sSbydFdIob6NrhNTJcF89uDqE2"的互斥体
  2. 网络检测:检查主机是否联网
  3. C&C通信
    • 首先连接google.com进行网络测试
    • 生成随机路径
    • 使用POST协议发送数据
    • 无论返回状态码是200还是404都会继续执行
  4. C&C服务器:直连191.101.31.6

7.2 信息收集

收集的系统信息包括:

  1. 硬盘信息

    • 参数格式:Id:硬盘序列号

  2. 系统信息

    • 参数格式:w: [操作系统版本信息][32/64位标识]

  3. 进程信息:完整进程列表

  4. 磁盘信息

    • 通过注册表获取:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk\Enum

  5. 版本标识

    • 硬编码版本号:build=0x7caa0e19

  6. 注入标志

    • 参数:Inject表示是否进行注入

7.3 数据加密与存储

  1. 加密方式:使用自定义加密算法加密数据
  2. C&C存储
    • 将C&C服务器地址(191.101.31.6)进行BASE64编码
    • 存储在注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Servers\Domain

8. 命令与控制功能

接收解密后的数据后,解析并执行以下指令:

8.1 文件操作指令

[file]
Execte
Delete
[/file]

8.2 设置操作指令

[settings]
[/settings]

9. 检测与防御建议

9.1 检测指标

  1. 文件指标

    • 特定DLL文件名:btecache.dll、svchost.dll
    • 特定SHA-256哈希值

  2. 注册表指标

    • HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Servers\Domain

  3. 网络指标

    • 连接191.101.31.6
    • 特定POST请求模式

  4. 进程指标

    • 特定互斥体名称
    • Word进程异常行为

9.2 防御措施

  1. 补丁管理

    • 及时修补CVE-2015-1641等Office漏洞

  2. 邮件安全

    • 过滤可疑RTF文档
    • 提高用户对钓鱼邮件的警惕性

  3. 端点防护

    • 监控Office进程加载的DLL
    • 阻止可疑注册表修改

  4. 网络监控

    • 监控与已知C&C服务器的通信
    • 分析异常POST请求

10. 参考资源

  1. Palo Alto Networks Unit42 - New Sofacy Attacks Against US Government Agency
  2. ESET Sednit Full Report
APT28组织Seduploader样本分析教学文档 1. APT28组织概述 APT28(又称Fancy Bear、Sofacy)是与俄罗斯政府相关的高级持续性威胁(APT)组织,专注于针对政府、军事和外交目标的网络攻击。 主要特点: 使用复杂的社会工程学攻击 开发和使用0day漏洞 多平台攻击能力(Windows和OS X) 模块化恶意软件设计 2. Seduploader样本概述 Seduploader是APT28组织使用的第一阶段后门程序,主要用于侦察和下载第二阶段恶意软件。 基本特征: 包含Carberp开源木马的代码 有Windows和OS X版本 具备反分析能力 支持多种C&C连接方式 3. 样本交付方式 3.1 主要攻击向量 鱼叉式钓鱼攻击 : 通过包含恶意Office文档的钓鱼邮件传播 使用CVE-2015-1641漏洞(Microsoft Word漏洞) 水坑攻击 : 使用Sedkit漏洞工具包 主要利用Flash和IE漏洞 3.2 样本信息 | 文件名称 | SHA-256哈希值 | 创建时间 | 文件大小 | |--------------|------------------------------------------|---------------------|----------------| | btecache.dll | c2551c4e6521ac72982cb952503a2e6f016356e02ee31dea36c713141d4f3785 | 2016-05-20 13:16:01 | 51.0 KB (52,224字节) | | svchost.dll | 69940a20ab9abb31a03fcefe6de92a16ed474bbdff3288498851afc12a834261 | 2016-05-20 22:58:15 | 32.5 KB (33,280字节) | 4. 持久化机制 恶意DLL通过以下注册表项实现持久化: 每次打开Office程序时,会加载btecache.dll,从而实现恶意代码的持久运行。 5. 与Carberp木马的关联分析 样本中发现了大量与Carberp开源木马相同的代码: Getkernel32函数 :API获取方式相同 RC2密钥 :加密密钥相同 代码结构 :多个功能模块的实现方式高度相似 6. btecache.dll分析 6.1 主要功能 进程检查 :只针对Word进程启动 互斥体创建 :创建名为"ASLIiasiuqpssuqkl713h"的互斥体 模块加载 : 拼接svchost.dll的释放路径 将"begin"字符串作为参数传递给svchost.dll 将自身复制到新内存中并开启线程 加载svchost模块并执行其"begin"导出函数 7. svchost.dll分析 7.1 通信机制 互斥量创建 :创建名为"sSbydFdIob6NrhNTJcF89uDqE2"的互斥体 网络检测 :检查主机是否联网 C&C通信 : 首先连接google.com进行网络测试 生成随机路径 使用POST协议发送数据 无论返回状态码是200还是404都会继续执行 C&C服务器 :直连191.101.31.6 7.2 信息收集 收集的系统信息包括: 硬盘信息 : 参数格式: Id:硬盘序列号 系统信息 : 参数格式: w: [操作系统版本信息][32/64位标识] 进程信息 :完整进程列表 磁盘信息 : 通过注册表获取: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk\Enum 版本标识 : 硬编码版本号: build=0x7caa0e19 注入标志 : 参数: Inject 表示是否进行注入 7.3 数据加密与存储 加密方式 :使用自定义加密算法加密数据 C&C存储 : 将C&C服务器地址(191.101.31.6)进行BASE64编码 存储在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Servers\Domain 8. 命令与控制功能 接收解密后的数据后,解析并执行以下指令: 8.1 文件操作指令 8.2 设置操作指令 9. 检测与防御建议 9.1 检测指标 文件指标 : 特定DLL文件名:btecache.dll、svchost.dll 特定SHA-256哈希值 注册表指标 : HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Servers\Domain 网络指标 : 连接191.101.31.6 特定POST请求模式 进程指标 : 特定互斥体名称 Word进程异常行为 9.2 防御措施 补丁管理 : 及时修补CVE-2015-1641等Office漏洞 邮件安全 : 过滤可疑RTF文档 提高用户对钓鱼邮件的警惕性 端点防护 : 监控Office进程加载的DLL 阻止可疑注册表修改 网络监控 : 监控与已知C&C服务器的通信 分析异常POST请求 10. 参考资源 Palo Alto Networks Unit42 - New Sofacy Attacks Against US Government Agency ESET Sednit Full Report