Octopus恶意软件分析
字数 1254 2025-08-19 12:40:43

Octopus恶意软件分析教学文档

1. 概述

Octopus是一种针对中亚地区的恶意软件,最早于2018年4月被发现。该恶意软件伪装成哈萨克斯坦反政府组织的通信软件进行传播,主要针对因政府禁止Telegram而寻找替代通信工具的用户。

2. 传播方式

  • 传播载体:打包成名为dvkmailer.zip的ZIP文件
  • 时间戳:文件创建时间为2018年2-3月
  • 社会工程:利用哈萨克斯坦禁止Telegram的背景,伪装成替代通信软件
  • 历史手法:攻击者曾使用鱼叉式钓鱼攻击传播恶意软件

3. 技术分析

3.1 Dropper分析

  • 文件检查:启动前会检查同目录下的TelegramApi.dll文件
  • 持久化:将网络模块复制到开始菜单目录中(重命名为Java.exe)
  • 伪装界面:使用Delphi Visual Component Library (VCL)构建
  • 异常特征
    • "发送邮件"按钮没有handler函数
    • 可能因开发仓促而缺少完整通信功能
    • 程序体积大(约2.6MB,12000个函数),但大部分代码处理界面而非功能

3.2 网络模块分析

  • 文件伪装:虽然扩展名为.dll,实为自包含的可执行文件
  • 初始化行为
    • 删除用户临时目录中名为1?的文件
    • 在Application Data目录创建.profiles.ini文件
  • C2通信机制
    • 硬编码多个国家的web主机服务IP地址
    • 使用一阶段.php脚本获取真实C2服务器域名
    • 通信数据采用JSON格式
    • 使用HTTP GET/POST请求
    • 开发者使用Indy Project和TurboPower Abbrevia库进行网络通信和压缩

3.3 受害者识别

  • 硬编码ID:32字符的硬编码受害者ID
  • 指纹生成
    • 使用WMIC收集系统信息: 
      C:\WINDOWS\system32\wbem\WMIC.exe computersystem get Name /format:list
C:\WINDOWS\system32\wbem\WMIC.exe os get installdate /format:list
C:\WINDOWS\system32\wbem\WMIC.exe path CIM_LogicalDiskBasedOnPartition get Antecedent,Dependent
    • 将收集的IDs连接后计算MD5哈希作为最终受害者ID

3.4 数据收集与C2交互

  • 收集的系统信息

    • 磁盘名称和大小
    • 计算机名和用户名
    • Windows目录
    • 主机IP地址
    • 协议版本(vr字段值为2.0)

  • 通信流程

    1. 初始HTTP GET请求
    2. C2返回JSON {"rt":"30"}
    3. 客户端发送下一个act的HTTP POST请求

  • 支持的命令

    • 文件上传/下载
    • 屏幕截图
    • 查找*.rar格式文件

4. 关联工具

攻击者还使用了密码复制工具fgdump作为辅助工具。

5. 威胁指标(IOC)

5.1 文件哈希

87126c8489baa8096c6f30456f5bef5eee3c829e7c773b4f94b700902ea3223c
38f30749a87dcbf156689300737a094e6e85996c021d55328322ce8e93b3108
87c0050a3e7aa3172392dcbab3bb925662bf2f63c927616527a693edf31ecebe
ad9ad277eb23b6268465edb3f68b12cb2

5.2 域名和IP

C2服务器IP:

85.93.31.14
1104.223.20.13
65.8.88.87
103.208.86.237
185.106.120.24
0204.145.94.10
15.188.231.10
103.208.86.238
185.106.120.27
204.145.94.10

关联域名:

hovnanflovers.com
latecafe.in
certificatesshop.com
blondehairman.com
porenticofacts.com

5.3 文件传输URL

www.fayloobmennik.net/files/save_new.html
http://uploadsforyou.com/download/
http://uploadsforyou.com/remove/

5.4 一阶段.php脚本位置

148.251.185.168
185.106.120.46
185.106.120.47
46.249.52.244
5.255.71.84
5.255.71.85
88.198.204.196
92.63.88.142

5.5 返回.php脚本的域名

giftfromspace.com
mikohanzer.website
humorpics.download
desperados20.es
prom3.biz.ua

6. 防御建议

  1. 用户教育:警惕伪装成通信软件的未知程序
  2. 网络监控:监控对所列IOC的访问
  3. 终端防护
    • 阻止已知恶意哈希的执行
    • 监控WMIC.exe的异常使用
  4. 日志分析:关注Application Data目录中.profiles.ini文件的创建
  5. 邮件过滤:拦截包含可疑ZIP附件(dvkmailer.zip)的邮件
Octopus恶意软件分析教学文档 1. 概述 Octopus是一种针对中亚地区的恶意软件,最早于2018年4月被发现。该恶意软件伪装成哈萨克斯坦反政府组织的通信软件进行传播,主要针对因政府禁止Telegram而寻找替代通信工具的用户。 2. 传播方式 传播载体 :打包成名为 dvkmailer.zip 的ZIP文件 时间戳 :文件创建时间为2018年2-3月 社会工程 :利用哈萨克斯坦禁止Telegram的背景,伪装成替代通信软件 历史手法 :攻击者曾使用鱼叉式钓鱼攻击传播恶意软件 3. 技术分析 3.1 Dropper分析 文件检查 :启动前会检查同目录下的 TelegramApi.dll 文件 持久化 :将网络模块复制到开始菜单目录中(重命名为 Java.exe ) 伪装界面 :使用Delphi Visual Component Library (VCL)构建 异常特征 : "发送邮件"按钮没有handler函数 可能因开发仓促而缺少完整通信功能 程序体积大(约2.6MB,12000个函数),但大部分代码处理界面而非功能 3.2 网络模块分析 文件伪装 :虽然扩展名为.dll,实为自包含的可执行文件 初始化行为 : 删除用户临时目录中名为 1? 的文件 在Application Data目录创建 .profiles.ini 文件 C2通信机制 : 硬编码多个国家的web主机服务IP地址 使用一阶段.php脚本获取真实C2服务器域名 通信数据采用JSON格式 使用HTTP GET/POST请求 开发者使用Indy Project和TurboPower Abbrevia库进行网络通信和压缩 3.3 受害者识别 硬编码ID :32字符的硬编码受害者ID 指纹生成 : 使用WMIC收集系统信息: 将收集的IDs连接后计算MD5哈希作为最终受害者ID 3.4 数据收集与C2交互 收集的系统信息 : 磁盘名称和大小 计算机名和用户名 Windows目录 主机IP地址 协议版本(vr字段值为2.0) 通信流程 : 初始HTTP GET请求 C2返回JSON {"rt":"30"} 客户端发送下一个act的HTTP POST请求 支持的命令 : 文件上传/下载 屏幕截图 查找* .rar格式文件 4. 关联工具 攻击者还使用了密码复制工具 fgdump 作为辅助工具。 5. 威胁指标(IOC) 5.1 文件哈希 5.2 域名和IP C2服务器IP : 关联域名 : 5.3 文件传输URL 5.4 一阶段.php脚本位置 5.5 返回.php脚本的域名 6. 防御建议 用户教育 :警惕伪装成通信软件的未知程序 网络监控 :监控对所列IOC的访问 终端防护 : 阻止已知恶意哈希的执行 监控WMIC.exe的异常使用 日志分析 :关注Application Data目录中.profiles.ini文件的创建 邮件过滤 :拦截包含可疑ZIP附件(dvkmailer.zip)的邮件