China-based Cyber Threat Group Uses Dropbox for Malware

显示全部楼层 · 发表于 2016-1-28 10:42:19

https://www.fireeye.com/blog/thr ... a-based-threat.html

LOWBALL Malware Analysis

The spear phishing emails contained three attachments in total, each of which exploited an older vulnerability in Microsoft Office (CVE-2012-0158):

MD5                   b9208a5b0504cb2283b1144fc455eaaa

Filename             使命公民運動我們的異象.doc

MD5                   ec19ed7cddf92984906325da59f75351

Filename             新聞稿及公佈.doc

MD5                   6495b384748188188d09e9d5a0c401a4

Filename             (代發)[采訪通知]港大校友關注組遞信行動.doc

MD5                   d76261ba3b624933a6ebb5dd73758db4

Filename             time.exe

This backdoor, known as LOWBALL, uses the legitimate Dropbox cloud-storage
service to act as the CnC server. It uses the Dropbox API with a hardcoded bearer access token and has the ability to download, upload, and execute files. The communication occurs via HTTPS over port 443.

After execution, the malware will use the Dropbox API to make an HTTP GET request using HTTPS over TCP port 443 for the files:

MD5                   d76261ba3b624933a6ebb5dd73758db4

Filename             WmiApCom

MD5                   79b68cdd0044edd4fbf8067b22878644

Filename             WmiApCom.bat

@hx1997 @360Tencent 拜托了

显示全部楼层 · 发表于 2016-1-28 17:00:22

我在一个在线沙箱中找到一个d76261ba3b624933a6ebb5dd73758db4

不过我没有测试也没有分析，不知道是不是文章中说的样本，只是发现这个跟你帖子中的一个MD5一样
其他我什么都不知道

样本

显示全部楼层 · 发表于 2016-1-28 17:23:51

报告，找到4个

这两个没找到

MD5
79b68cdd0044edd4fbf8067b22878644
Filename
WmiApCom.bat

MD5
0beb957923df2c885d29a9c1743dd94b
accounts.serveftp.com
59.188.0.197

显示全部楼层 · 发表于 2016-1-28 17:27:18

轩夏发表于 2016-1-28 17:23
报告，找到4个

显示全部楼层 · 发表于 2016-1-28 17:28:50

本帖最后由 windows7爱好者于 2016-1-28 17:32 编辑

驭龙发表于 2016-1-28 17:00
我在一个在线沙箱中找到一个d76261ba3b624933a6ebb5dd73758db4

不过我没有测试也没有分析，不知道是不是 ...

龙大，这个样本行为你知道吗，好像是个死的东西，没有cpu占用，一直1.5mb内存....也没有任何衍生物...

显示全部楼层 · 发表于 2016-1-28 17:30:15

windows7爱好者发表于 2016-1-28 17:27

你回复帖子的时候，我不由自主的喃喃到，我好饿啊，然后就看到有新提醒

显示全部楼层 · 发表于 2016-1-28 17:31:33

轩夏发表于 2016-1-28 17:30
你回复帖子的时候，我不由自主的喃喃到，我好饿啊，然后就看到有新提醒

画饼冲饥

显示全部楼层 · 发表于 2016-1-28 17:36:03

windows7爱好者发表于 2016-1-28 17:28
龙大，这个样本行为你知道吗，好像是个死的东西，没有cpu占用，一直1.5mb内存....也没有任何衍生物...

我不知道的，只是搜索一下找到的，其他我什么都不知道

显示全部楼层 · 发表于 2016-1-28 18:13:21

驭龙发表于 2016-1-28 17:36
我不知道的，只是搜索一下找到的，其他我什么都不知道

龙大，AVG可是很喜欢你的样本呢

扫描：killed；

"";"Trojan horse Generic14_c.RJZ, att.kafan.cn/forum.php?mod=attachment&aid=Mjc1MTMyMnw3NjNhZTUxNXwxNDUzOTc0MzUyfDEwMDA1MDF8MTkzNjQ5Mg%3D%3D";"Object was blocked";"URL";"2016/1/28, 17:46:07"
"";"Trojan horse Generic14_c.RJZ, att.kafan.cn/forum.php?mod=attachment&aid=Mjc1MTMyMnw3NjNhZTUxNXwxNDUzOTc0MzUyfDEwMDA1MDF8MTkzNjQ5Mg%3D%3D:\d76261ba3b624933a6ebb5dd73758db4.exe";"Unresolved";"Embedded element in the archive, email attachment, cookie etc.";"2016/1/28, 17:46:07"

双击：关闭监控，实机双击，IDP瞬间击杀，毫无理由。。。。。。

"";"IDP.Program.D1B0A5C0, C:\Users\kiiler\Desktop\d76261ba3b624933a6ebb5dd73758db4.exe";"Healed, Moved to Virus Vault";"File or Directory";"2016/1/28, 17:53:49"
"";", C:\Users\kiiler\Desktop\d76261ba3b624933a6ebb5dd73758db4.exe";"Object was blocked";"Process";"2016/1/28, 17:53:49"

显示全部楼层 · 发表于 2016-1-28 18:24:37

aboringman 发表于 2016-1-28 18:13
龙大，AVG可是很喜欢你的样本呢

扫描：killed；

唉，现在是我发样本标题说一下情况，有人说炫耀，回复帖子中饭友的话题，有人说是刷脸熟（以我的人气犯得着在样本区刷脸熟？），转发几个样本，又有人各种挖苦。

现在吓到我不敢玩了，反正我也不是抓样本的高手，以后少玩了，抱歉哦

[其他相关] China-based Cyber Threat Group Uses Dropbox for Malware

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分