APT28样本分析之宏病毒分析
字数 2108 2025-08-18 11:35:36

APT28宏病毒样本分析技术文档

一、APT28组织背景

APT28(又名Fancy Bear、Sofacy)是一个与俄罗斯政府有关的高级持续性威胁(APT)组织,主要针对政府、军事、外交和商业实体进行网络间谍活动。

二、样本概览

本次分析三个APT28使用的宏病毒样本:

  1. 欧洲外交事务攻击样本

    • 文件名: crash list(Lion Air Boeing 737).docx
    • SHA-256: 2cfc4b3686511f959f14889d26d3d9a0d06e27ee2bb54c9afb1ada6b8205c55f
    • 创建时间: 2018-09-11 04:22:00Z
    • 大小: 32.9 KB

  2. 酒店行业攻击样本

    • 文件名: Hotel_Reservation_Form.doc
    • SHA-256: a4a455db9f297e2b9fe99d63c9d31e827efb2cda65be445625fa64f4fce7f797
    • 创建时间: 2017-07-03 05:33:00Z
    • 大小: 76.7 KB

  3. 美国研究机构攻击样本

    • 文件名: Conference_on_Cyber_Conflict.doc
    • SHA-256: e5511b22245e26a003923ba476d7c36029939b2d1936e17a9b35b396467179ae
    • 创建时间: 2017-10-03 01:36:00
    • 大小: 333 KB

三、攻击技术分析

1. 欧洲外交事务攻击样本分析

攻击特点:

  • 使用远程模板加载技术
    • URL: http://188.241.58.170/live/owa/office.dotm
    • 优点:初始文件无恶意代码,可收集受害者IP,成功后关闭服务器难以追踪

宏代码特征:

  • 使用AutoClose事件触发(文档关闭时执行)
    • 绕过不关闭文档的沙箱检测
  • 无复杂混淆技术
  • 从UserForm1.Label2.Caption和UserForm1.Label1.Caption提取Base64编码的恶意文件

文件释放:

  1. Environ("APPDATA") "\MSDN\" "~msdn"
  2. Environ("TEMP") "~temp.docm"

执行流程:

  1. 解码并写入两个文件
  2. 加载~temp.docm
  3. 运行~temp.docm的Module1.Proc1
  4. 通过shell运行释放的exe

2. 酒店行业攻击样本分析

社会工程学:

  • 文档内容针对酒店行业定制化

宏代码特征:

  • 加密的宏代码
  • 三个主要函数:
    • AutoOpen()
    • DecodeBase64(base64)
    • Execute()

Payload存储:

  • Base64编码的PE文件存储在docProps/app.xml中

执行流程:

  1. 从XML节点获取Base64编码
  2. 解码为PE文件
  3. 保存到APPDATA目录下的user.dat
  4. 使用WMI调用rundll32.exe启动

3. 美国研究机构攻击样本分析

社会工程学:

  • 文档内容针对网络安全会议定制化

宏代码特征:

  • 加密的宏代码
  • 三个主要函数:
    • AutoOpen()
    • DecodeBase64(base64)
    • Execute()

Payload存储创新:

  • Base64编码分散存储在Word内置属性中

执行流程:

  1. 合并多个属性中的Base64编码
  2. 解码
  3. 设置bat脚本并启动

四、技术总结

  1. 社会工程学技巧

    • 针对不同行业定制文档内容
    • 使用热点事件作为诱饵(如空难事件)

  2. 反检测技术

    • 远程模板加载
    • AutoClose事件触发绕过沙箱
    • 代码加密
    • 无复杂混淆(保持低调)

  3. Payload存储技术演进

    • UserForm控件属性
    • XML文件(app.xml)
    • Word内置属性

  4. 执行技术

    • 多阶段加载
    • 环境变量路径利用
    • WMI调用
    • 脚本启动

五、防御建议

  1. 宏安全设置

    • 禁用Office宏或设置为仅允许受信任位置的宏运行

  2. 网络防护

    • 监控和阻止可疑的远程模板加载请求

  3. 行为检测

    • 监控异常文件创建(如APPDATA/TEMP目录下的可疑文件)
    • 检测WMI异常调用

  4. 邮件安全

    • 加强鱼叉邮件识别能力
    • 对附件进行静态和动态分析

  5. 威胁情报

    • 跟踪APT28的IoC(如分析的样本哈希、C2地址)

六、参考链接

  1. FireEye对酒店行业攻击的分析:
    https://www.fireeye.com/blog/threat-research/2017/08/apt28-targets-hospitality-sector.html

  2. Palo Alto对欧洲外交攻击的分析:
    https://researchcenter.paloaltonetworks.com/2018/11/unit42-sofacy-continues-global-attacks-wheels-new-cannon-trojan/

  3. Cisco Talos对美国研究机构攻击的分析:
    https://blog.talosintelligence.com/2017/10/cyber-conflict-decoy-document.html

APT28宏病毒样本分析技术文档 一、APT28组织背景 APT28(又名Fancy Bear、Sofacy)是一个与俄罗斯政府有关的高级持续性威胁(APT)组织,主要针对政府、军事、外交和商业实体进行网络间谍活动。 二、样本概览 本次分析三个APT28使用的宏病毒样本: 欧洲外交事务攻击样本 文件名: crash list(Lion Air Boeing 737).docx SHA-256: 2cfc4b3686511f959f14889d26d3d9a0d06e27ee2bb54c9afb1ada6b8205c55f 创建时间: 2018-09-11 04:22:00Z 大小: 32.9 KB 酒店行业攻击样本 文件名: Hotel_ Reservation_ Form.doc SHA-256: a4a455db9f297e2b9fe99d63c9d31e827efb2cda65be445625fa64f4fce7f797 创建时间: 2017-07-03 05:33:00Z 大小: 76.7 KB 美国研究机构攻击样本 文件名: Conference_ on_ Cyber_ Conflict.doc SHA-256: e5511b22245e26a003923ba476d7c36029939b2d1936e17a9b35b396467179ae 创建时间: 2017-10-03 01:36:00 大小: 333 KB 三、攻击技术分析 1. 欧洲外交事务攻击样本分析 攻击特点: 使用远程模板加载技术 URL: http://188.241.58.170/live/owa/office.dotm 优点:初始文件无恶意代码,可收集受害者IP,成功后关闭服务器难以追踪 宏代码特征: 使用AutoClose事件触发(文档关闭时执行) 绕过不关闭文档的沙箱检测 无复杂混淆技术 从UserForm1.Label2.Caption和UserForm1.Label1.Caption提取Base64编码的恶意文件 文件释放: Environ("APPDATA") "\MSDN\" "~msdn" Environ("TEMP") "~temp.docm" 执行流程: 解码并写入两个文件 加载~temp.docm 运行~temp.docm的Module1.Proc1 通过shell运行释放的exe 2. 酒店行业攻击样本分析 社会工程学: 文档内容针对酒店行业定制化 宏代码特征: 加密的宏代码 三个主要函数: AutoOpen() DecodeBase64(base64) Execute() Payload存储: Base64编码的PE文件存储在docProps/app.xml中 执行流程: 从XML节点获取Base64编码 解码为PE文件 保存到APPDATA目录下的user.dat 使用WMI调用rundll32.exe启动 3. 美国研究机构攻击样本分析 社会工程学: 文档内容针对网络安全会议定制化 宏代码特征: 加密的宏代码 三个主要函数: AutoOpen() DecodeBase64(base64) Execute() Payload存储创新: Base64编码分散存储在Word内置属性中 执行流程: 合并多个属性中的Base64编码 解码 设置bat脚本并启动 四、技术总结 社会工程学技巧 针对不同行业定制文档内容 使用热点事件作为诱饵(如空难事件) 反检测技术 远程模板加载 AutoClose事件触发绕过沙箱 代码加密 无复杂混淆(保持低调) Payload存储技术演进 UserForm控件属性 XML文件(app.xml) Word内置属性 执行技术 多阶段加载 环境变量路径利用 WMI调用 脚本启动 五、防御建议 宏安全设置 禁用Office宏或设置为仅允许受信任位置的宏运行 网络防护 监控和阻止可疑的远程模板加载请求 行为检测 监控异常文件创建(如APPDATA/TEMP目录下的可疑文件) 检测WMI异常调用 邮件安全 加强鱼叉邮件识别能力 对附件进行静态和动态分析 威胁情报 跟踪APT28的IoC(如分析的样本哈希、C2地址) 六、参考链接 FireEye对酒店行业攻击的分析: https://www.fireeye.com/blog/threat-research/2017/08/apt28-targets-hospitality-sector.html Palo Alto对欧洲外交攻击的分析: https://researchcenter.paloaltonetworks.com/2018/11/unit42-sofacy-continues-global-attacks-wheels-new-cannon-trojan/ Cisco Talos对美国研究机构攻击的分析: https://blog.talosintelligence.com/2017/10/cyber-conflict-decoy-document.html