CharmingKittenAPT技术手段分析

CharmingKitten网络间谍组织来自于伊朗，被称为迷人的小猫咪，最早Behzad Mesri伊朗人因攻击HBO被起诉，确定了属于该成员。
该组织攻击目标伊朗学术研究、人权和媒体相关的人，反对伊朗国内外生活的人，以及伊朗事务的记者、媒体转载有关伊朗的政治顾问等,受害者多数生活在伊朗、以色列和美国等个人，也有一些瑞士、印度、丹麦等地区国家人士。

样本组件分析：

.Lnk

诱惑点击执行powershell，如下所示：

提取Hex_Powershell，如下所示：

http://uploader.sytes.net/download/slideshow/1.jpg
http://uploader.sytes.net/download/shortcut.exe

关联下载

md5:f9255e0d492eb20df1e78ccc970b121a

感染流程

.Exe

创建SpoonBuSter目录，拷贝自身到目录重命名为dwm.exe，添加自启动，Shell执行。

解密加密字符，利用CreateThread分发恶意进程.

0023AD40 WIN-0LRR8CGQ4H6-A1B5-685B-BD05-4273-E932

利用WinClass注册窗口回调，执行恶意连接：

解密网络信标：

http://microsoft-utility.com/update/post.php

-----BEGIN PUBLIC KEY-----
..MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKB
gQDPlwHiG068RYDD1NLvCFAWNMs6..VR4I2kNuTei/+rCnUuj92hDFFXrntXIi7L
Ln8XsB3ls1sJ0RcAcrKVzQgzY+DOOT..A4dhOpFlO3v/bj3OwRqCdNJwJJfpYCBY
QaLND9eo49BCK+pwVVB55TJYjCkVowGx..ZfJJdjYc3oDZKbKOawIDAQAB..
-----END PUBLIC KEY-----

利用WMI执行系统数据查询，XML格式保存，如下所示：

唤醒窗口回调，执行InternetConnectC2分发：

CharmingKitten分发比较有特色，利用窗口回调连接服务器，返回成功响应报文0x200，执行C2命令和数据。

.Net

载荷阶段释放本体/启动

生成配置文件：

程序持久化

WinrarContainer分析

加载SU.DLL,如下所示：

Rundll32.exe-PChunter查看模块已加载，如下所示：

SU.DLL分析

连接服务器，如下所示：

读取MU目录下窃取的浏览器Cookies和截屏流，发送服务端：

启动keylogger.Start

HKeylogger线程下断,获取当前活跃窗口记录：

ScreenShotProc回调分析

读取Command.txt数据，写入文件(文件名随机).

.Apk

图标Aida006，运行后界面显示Button按钮，如下所示：

包名.net.droidjack.server,启动服务(new Controller)，如下所示：

功能分析

Am

Bt

方法模块中包含ag/bm模块，ag/bm模块SQL初始化，如下所示：

Ah

Q

By

F

CA

调用CE模块，负责Http回连，如下所示：

B

A

Be

Bz

Bf

Cf

Client

数据分析

C2域分析

样本数量小于1万

域名投影

CharmingKitten恶意域名如下：

nvidia-update.com
nvidia-support.com
asus-support.net

抛去污染节点，共享边表明恶意软件很有可能通过schmas.microsoft.com-google.com等白域名测试主机网络是否可达。

二分网络

从域名映射到样本共享边距非常紧密

原文始发于先知社区（一半人生）：CharmingKittenAPT技术手段分析