APT32恶意样本分析教学文档

一、背景信息

1.1 APT32组织简介

别名：海莲花（Ocean Lotus）
活跃时间：2014年至今
背景：被认为具有越南国家背景
攻击目标：工业领域、政府部门、政见不同的个人与记者

1.2 样本基本信息

分析时间：2019年7月
环境：Windows 7 32位系统
分析工具：Ollydbg、Wireshark、IDA Pro
文件MD5：
- 985b12d96e3e9292d5e67f3ff060786b（主样本）
- 766a2cb1cdea9682be673e41ed689a28
- f28c8cd466e8a0f1ccb123bfe50bd33b

二、样本技术分析

2.1 初始攻击向量

攻击方式：通过邮件附件传播
文件组成：
- 一个exe文件（白文件）
- 一个隐藏的dll文件（黑文件）
技术特点：典型的"白加黑"技术应用

2.2 执行流程分析

2.2.1 初始阶段

执行exe文件
exe尝试加载wwlib.dll
系统优先加载当前目录下的恶意dll（而非系统dll）

2.2.2 欺骗阶段

恶意dll释放伪造的doc文件：
- 路径：C:\Users\root\AppData\Local\Temp\Document.doc
写入伪造的word内容
打开伪造的word文档迷惑受害者

2.2.3 Shellcode执行链

从内存解密shellcode1
将shellcode1复制到内存00210000执行
shellcode1释放shellcode2到内存00220000
创建新线程执行shellcode2
shellcode2获取网络适配器信息
shellcode2解密shellcode3
创建新线程执行shellcode3

2.2.4 C2通信

shellcode3尝试连接C2服务器：
- URL：https://api.ciscofreak.com/Kgx2
- IP：95.168.191.35
获取控制端数据大小
接收控制端数据并保存到内存02a70000
跳转到接收的数据执行（shellcode4）

2.2.5 最终载荷

shellcode4自解密，在内存02a7003c处得到PE文件
执行该PE文件（后门程序）
后门程序连接C2：
- URL：https://api.ciscofreak.com/safebrowsing/rd/CltOb12nLW1IbHehcmUtd2hUdmFzEBAY7-0KIOkUDC7h2

2.3 后门功能

后门程序支持76种指令，包括但不限于：

开启指定进程
向控制端上传文件
保持与控制端连接
创建指定服务
杀死指定进程
从控制端下载后续文件
进行进程注入
删除指定文件
使用SMB协议进行内网传播
获取账户信息

三、技术特点总结

白加黑技术：利用白文件加载恶意dll
多阶段shellcode：通过多级shellcode逐步加载最终载荷
文档欺骗：伪造word文档迷惑受害者
C2通信：使用HTTPS协议进行隐蔽通信
模块化设计：后门功能丰富且模块化

四、防护措施

端口管理：
- 关闭易受攻击的端口（如139、445等）
- 防止恶意软件进行内网传播
安全意识：
- 不轻易运行来历不明的软件
- 警惕可疑邮件附件
系统防护：
- 及时更新病毒库
- 定期查杀主机中的恶意病毒
高级防护系统：
- 使用"铁穹高级持续性威胁系统"（东巽科技）
- 结合流量检测与沙箱分析功能
- 检测主机内潜在威胁行为

五、IoC指标

5.1 文件哈希

985b12d96e3e9292d5e67f3ff060786b
766a2cb1cdea9682be673e41ed689a28
f28c8cd466e8a0f1ccb123bfe50bd33b

5.2 C2基础设施

域名：api.ciscofreak.com
IP：95.168.191.35
URL：
- https://api.ciscofreak.com/Kgx2
- https://api.ciscofreak.com/safebrowsing/rd/CltOb12nLW1IbHehcmUtd2hUdmFzEBAY7-0KIOkUDC7h2

六、分析结论

APT32组织虽然使用了新样本与新的控制端，但核心技术仍为常用手法：

使用伪装成word文档的可执行文件
诱使受害者点击执行
从控制端下载后门软件
实现对受害者主机的控制

该攻击链体现了APT组织在保持核心攻击手法稳定的同时，不断更新基础设施和样本的典型策略。

APT32恶意样本分析教学文档一、背景信息 1.1 APT32组织简介别名：海莲花（Ocean Lotus）活跃时间：2014年至今背景：被认为具有越南国家背景攻击目标：工业领域、政府部门、政见不同的个人与记者 1.2 样本基本信息分析时间：2019年7月环境：Windows 7 32位系统分析工具：Ollydbg、Wireshark、IDA Pro 文件MD5： 985b12d96e3e9292d5e67f3ff060786b（主样本） 766a2cb1cdea9682be673e41ed689a28 f28c8cd466e8a0f1ccb123bfe50bd33b 二、样本技术分析 2.1 初始攻击向量攻击方式：通过邮件附件传播文件组成：一个exe文件（白文件）一个隐藏的dll文件（黑文件）技术特点：典型的"白加黑"技术应用 2.2 执行流程分析 2.2.1 初始阶段执行exe文件 exe尝试加载wwlib.dll 系统优先加载当前目录下的恶意dll（而非系统dll） 2.2.2 欺骗阶段恶意dll释放伪造的doc文件：路径： C:\Users\root\AppData\Local\Temp\Document.doc 写入伪造的word内容打开伪造的word文档迷惑受害者 2.2.3 Shellcode执行链从内存解密shellcode1 将shellcode1复制到内存00210000执行 shellcode1释放shellcode2到内存00220000 创建新线程执行shellcode2 shellcode2获取网络适配器信息 shellcode2解密shellcode3 创建新线程执行shellcode3 2.2.4 C2通信 shellcode3尝试连接C2服务器： URL： https://api.ciscofreak.com/Kgx2 IP：95.168.191.35 获取控制端数据大小接收控制端数据并保存到内存02a70000 跳转到接收的数据执行（shellcode4） 2.2.5 最终载荷 shellcode4自解密，在内存02a7003c处得到PE文件执行该PE文件（后门程序）后门程序连接C2： URL： https://api.ciscofreak.com/safebrowsing/rd/CltOb12nLW1IbHehcmUtd2hUdmFzEBAY7-0KIOkUDC7h2 2.3 后门功能后门程序支持76种指令，包括但不限于：开启指定进程向控制端上传文件保持与控制端连接创建指定服务杀死指定进程从控制端下载后续文件进行进程注入删除指定文件使用SMB协议进行内网传播获取账户信息三、技术特点总结白加黑技术：利用白文件加载恶意dll 多阶段shellcode ：通过多级shellcode逐步加载最终载荷文档欺骗：伪造word文档迷惑受害者 C2通信：使用HTTPS协议进行隐蔽通信模块化设计：后门功能丰富且模块化四、防护措施端口管理：关闭易受攻击的端口（如139、445等）防止恶意软件进行内网传播安全意识：不轻易运行来历不明的软件警惕可疑邮件附件系统防护：及时更新病毒库定期查杀主机中的恶意病毒高级防护系统：使用"铁穹高级持续性威胁系统"（东巽科技）结合流量检测与沙箱分析功能检测主机内潜在威胁行为五、IoC指标 5.1 文件哈希 985b12d96e3e9292d5e67f3ff060786b 766a2cb1cdea9682be673e41ed689a28 f28c8cd466e8a0f1ccb123bfe50bd33b 5.2 C2基础设施域名：api.ciscofreak.com IP：95.168.191.35 URL： https://api.ciscofreak.com/Kgx2 https://api.ciscofreak.com/safebrowsing/rd/CltOb12nLW1IbHehcmUtd2hUdmFzEBAY7-0KIOkUDC7h2 六、分析结论 APT32组织虽然使用了新样本与新的控制端，但核心技术仍为常用手法：使用伪装成word文档的可执行文件诱使受害者点击执行从控制端下载后门软件实现对受害者主机的控制该攻击链体现了APT组织在保持核心攻击手法稳定的同时，不断更新基础设施和样本的典型策略。