#SideWinder #APT #Lnk #Pakistan (2020-07)

Solidt

快捷方式指向的地址里面可以下载到一个90a782e.hta，当文本打开里面内容混淆过，问题是能不能穿透浏览器呢，而且就算没开增强安全模式IE浏览器在WIN10下权限也不高，如何实现持久化，我去看看这高级货怎么处理这几个问题的。

Solidt

SEP14.3直接被过掉了，但我不确定这东西真的有生效,打开了一个pdf，所有衍生物SEP扫描都无毒。。
微步云沙箱的结果很迷。。。
64bit沙箱:https://s.threatbook.cn/report/f ... p1_enx64_office201332bit沙箱:https://s.threatbook.cn/report/file/3fac06c1f2f09662c1561ff456b3267e1b82899cd3cd62330a37b064504f3199/?sign=history&env=win7_sp1_enx86_office2013
更新：

       这东西是三哥网战部队的特马，操作还是挺骚的，SEP14.3默认信誉设置下会杀那个快捷方式，但只是对快捷方式从压缩包释放这个过程敏感，如果你通过别的方式将文件放在桌面上，就不会有反应。

       运行测试环境：WIN10 1909 补丁打满  UAC 默认
                               SEP14.3 暗网端 bloodhound 自动，信誉 5，SONAR 主动，信誉查询 开启
       双击运行UAC无反应，SEP无反应，mshta.exe从fxxk://www.hajjinfo-org.tar-gz.net/images/6DAD7366/15984/11992/1bdeaae4/90a782e
       下载得90a782e.hta直接加载运行，内容是经过私有算法加密的js脚本。
        在TEMP目录下载得到Hajj Policy and Plan 2020.pdf并用默认PDF阅读器打开
        这里细节我没有能力跟踪直接跳过。。。
        总之结果会在注册表 计算机\HKEY_USERS\*****************\Software\Microsoft\Windows\CurrentVersion\Run
        生成C:\ProgramData\font2.0Files\rekeywiz.exe启动项
        font2.0Files下面文件有:Duser.dll
                                            font2.0(似乎允许rekeywiz.exe进程联网后会变大)
                                            rekeywiz.exe(从系统中复制来的用于白加黑)
                                            rekeywiz.exe.config
                                            z0RjLfc.tmp(随机.tmp)
        重启后rekeywiz.exe加载Duser.dll静默运行，和SEP和平共处，运行扫描根本没用，如果防火墙开启了手动允许应用程序通信则会弹出窗口要
       与CC服务器通信，观察rekeywiz.exe发现其并不在应该在的目录，且通信远程为一个IP地址，而不是所属微软的域名。
        用procmon观察rekeywiz.exe行为可以发现其按着某种规则扫描硬盘文件对文档和图片似乎非常感兴趣,把我的CMANO游戏文件夹下的DB数据库扫了个干净,扫描到感兴趣的内容后就会在TEMP文件夹下写入tmp****.tmp（随机命名）文件，用winhex打开这个文件发现是遍历有关目录的一份记录，应该是要上传到CC服务器的，才10分钟不到就有80M大小。
       实机运行，实在不敢再折腾了，遂停止了rekeywiz.exe进程，删除了font2.0Files目录和启动项，为了躲避安全软件该木马初期模块并没有驱动对抗，所以终结起来还是很简单的。
       SEP哪些企业采用了我不多说，好在大家的内网都很识趣拔掉了网线.
       这还只是三哥这个三流选手，面对APT各种fancy的安全解决方案只是给各个用户提供一种虚幻的体验，我受到保护了（滑稽）
       出来混迟早是要还的，卡巴斯基被黑过，Bitdefender被黑过，很多关键站点的托管商Linode被黑过,黑别人的HackingTeam被黑过，NSA他么也被黑过，记得有新闻传出消息，NSA TAO关站自查时有关负责人说，那个工具包所在的计算机我们都是拔了网线的。。。