推友@liqingjia1989发布了一条动态,很感谢~,然后自己立即分析了下。
https://twitter.com/liqingjia1989/status/1602848430690226177
VirusTotal下载不到样本,可以在云沙箱下载得到,提交时存在原始文件名,可以发现这大概率是国内最早提交的样本,首次提交时间为2022年12月12日。
arphaDump.dll(7b0d6fab4c34141d6baf13bd59ab1ee9)的回连地址为112.253.30.50:8443,比较简单就不分析啦,这个木马并不是一个定制化需要解密的木马,提交沙箱等待分析完成后便可从流量中获取到回连地址,此类木马的母体实现逻辑与之前的木马不一样。
通过imphash关联获取到以前在外部获取的样本SPUpDate.dll(0641b934b5a9cb989cea02e711148aa0),现在继续分析下之前未分析的SPUpDate.dll(0641b934b5a9cb989cea02e711148aa0),母体外壳实现的逻辑为利用api hook劫持了母体exe进程的0040201C(KERNEL32.ExitProcess)函数,一旦母体调用ExitProcess函数退出进程后会被劫持到恶意代码起始地址执行。
调试shellcode过程中,发现需解密文件“C:APICloudworkspacewzappconfig.xml”才能最终获取到核心代码。没有办法,这是这个黑客组织的一贯策略。
原文始发于微信公众号(OnionSec):不常见的可获取C2的APT32木马分析之旅