Octopus恶意软件分析教学文档<\/h1>

1. 概述<\/h2>
Octopus是一种针对中亚地区的恶意软件，最早于2018年4月被发现。该恶意软件伪装成哈萨克斯坦反政府组织的通信软件进行传播，主要针对因政府禁止Telegram而寻找替代通信工具的用户。<\/p>

2. 传播方式<\/h2>

传播载体<\/strong>：打包成名为dvkmailer.zip<\/code>的ZIP文件<\/li>
时间戳<\/strong>：文件创建时间为2018年2-3月<\/li>
社会工程<\/strong>：利用哈萨克斯坦禁止Telegram的背景，伪装成替代通信软件<\/li>

历史手法<\/strong>：攻击者曾使用鱼叉式钓鱼攻击传播恶意软件<\/li> <\/ul> 3. 技术分析<\/h2> 3.1 Dropper分析<\/h3> 文件检查<\/strong>：启动前会检查同目录下的TelegramApi.dll<\/code>文件<\/li> 持久化<\/strong>：将网络模块复制到开始菜单目录中(重命名为Java.exe<\/code>)<\/li> 伪装界面<\/strong>：使用Delphi Visual Component Library (VCL)构建<\/li> 异常特征<\/strong>： "发送邮件"按钮没有handler函数<\/li> 可能因开发仓促而缺少完整通信功能<\/li> 程序体积大(约2.6MB,12000个函数)，但大部分代码处理界面而非功能<\/li> <\/ul> <\/li> <\/ul> 3.2 网络模块分析<\/h3> 文件伪装<\/strong>：虽然扩展名为.dll，实为自包含的可执行文件<\/li> 初始化行为<\/strong>：删除用户临时目录中名为1?<\/code>的文件<\/li> 在Application Data目录创建.profiles.ini<\/code>文件<\/li> <\/ul> <\/li> C2通信机制<\/strong>：硬编码多个国家的web主机服务IP地址<\/li> 使用一阶段.php脚本获取真实C2服务器域名<\/li> 通信数据采用JSON格式<\/li> 使用HTTP GET\/POST请求<\/li> 开发者使用Indy Project和TurboPower Abbrevia库进行网络通信和压缩<\/li> <\/ul> <\/li> <\/ul> 3.3 受害者识别<\/h3> 硬编码ID<\/strong>：32字符的硬编码受害者ID<\/li> 指纹生成<\/strong>：使用WMIC收集系统信息： C:\WINDOWS\system32\wbem\WMIC.exe computersystem get Name \/format:list<\/span> <\/span><\/span>C:\WINDOWS\system32\wbem\WMIC.exe os get installdate \/format:list<\/span> <\/span><\/span>C:\WINDOWS\system32\wbem\WMIC.exe path CIM_LogicalDiskBasedOnPartition get Antecedent,Dependent<\/span> <\/span><\/span><\/code><\/pre><\/li> 将收集的IDs连接后计算MD5哈希作为最终受害者ID<\/li> <\/ul> <\/li> <\/ul> 3.4 数据收集与C2交互<\/h3> 收集的系统信息<\/strong>：<\/p> 磁盘名称和大小<\/li> 计算机名和用户名<\/li> Windows目录<\/li> 主机IP地址<\/li> 协议版本(vr字段值为2.0)<\/li> <\/ul> <\/li> 通信流程<\/strong>：<\/p> 初始HTTP GET请求<\/li> C2返回JSON {"rt":"30"}<\/li> 客户端发送下一个act的HTTP POST请求<\/li> <\/ol> <\/li> 支持的命令<\/strong>：<\/p> 文件上传\/下载<\/li> 屏幕截图<\/li> 查找*.rar格式文件<\/li> <\/ul> <\/li> <\/ul> 4. 关联工具<\/h2> 攻击者还使用了密码复制工具fgdump<\/code>作为辅助工具。<\/p> 5. 威胁指标(IOC)<\/h2> 5.1 文件哈希<\/h3> 87126c8489baa8096c6f30456f5bef5eee3c829e7c773b4f94b700902ea3223c 38f30749a87dcbf156689300737a094e6e85996c021d55328322ce8e93b3108 87c0050a3e7aa3172392dcbab3bb925662bf2f63c927616527a693edf31ecebe ad9ad277eb23b6268465edb3f68b12cb2 <\/code><\/pre> 5.2 域名和IP<\/h3> C2服务器IP<\/strong>:<\/p> 85.93.31.14 1104.223.20.13 65.8.88.87 103.208.86.237 185.106.120.24 0204.145.94.10 15.188.231.10 103.208.86.238 185.106.120.27 204.145.94.10 <\/code><\/pre> 关联域名<\/strong>:<\/p> hovnanflovers.com latecafe.in certificatesshop.com blondehairman.com porenticofacts.com <\/code><\/pre> 5.3 文件传输URL<\/h3> www.fayloobmennik.net\/files\/save_new.html http:\/\/uploadsforyou.com\/download\/ http:\/\/uploadsforyou.com\/remove\/ <\/code><\/pre> 5.4 一阶段.php脚本位置<\/h3> 148.251.185.168 185.106.120.46 185.106.120.47 46.249.52.244 5.255.71.84 5.255.71.85 88.198.204.196 92.63.88.142 <\/code><\/pre> 5.5 返回.php脚本的域名<\/h3> giftfromspace.com mikohanzer.website humorpics.download desperados20.es prom3.biz.ua <\/code><\/pre> 6. 防御建议<\/h2> 用户教育<\/strong>：警惕伪装成通信软件的未知程序<\/li> 网络监控<\/strong>：监控对所列IOC的访问<\/li> 终端防护<\/strong>：阻止已知恶意哈希的执行<\/li> 监控WMIC.exe的异常使用<\/li> <\/ul> <\/li> 日志分析<\/strong>：关注Application Data目录中.profiles.ini文件的创建<\/li> 邮件过滤<\/strong>：拦截包含可疑ZIP附件(dvkmailer.zip)的邮件<\/li> <\/ol>

Octopus恶意软件分析教学文档<\/h1>

1. 概述<\/h2> Octopus是一种针对中亚地区的恶意软件，最早于2018年4月被发现。该恶意软件伪装成哈萨克斯坦反政府组织的通信软件进行传播，主要针对因政府禁止Telegram而寻找替代通信工具的用户。<\/p>

3. 技术分析<\/h2>

4. 关联工具<\/h2> 攻击者还使用了密码复制工具fgdump<\/code>作为辅助工具。<\/p>

1. 概述<\/h2>
Octopus是一种针对中亚地区的恶意软件，最早于2018年4月被发现。该恶意软件伪装成哈萨克斯坦反政府组织的通信软件进行传播，主要针对因政府禁止Telegram而寻找替代通信工具的用户。<\/p>

4. 关联工具<\/h2>
攻击者还使用了密码复制工具`fgdump<\/code>作为辅助工具。<\/p>`