疑似APT组织样本1X，初步判定为后门Backdoor

漂洋过海123

解压NWD5671.pdf.zip后会得到一个NWD5671.pdf.r00

将其后缀r00改为rar，继续解压


得到一个NWD5671.pdf.exe即为病毒样本本体

下载1：https://wss1.cn/f/7lu5rhw9z34 复制链接到浏览器打开
下载2：https://www.123pan.com/s/xaeA-JZlvH 提取码:xhar

样本质量：极高
Virustotal：8/64

MD5：2ce1ddaeb32d4b503618b9a77aba9925
SHA-1：4e86d5eaf7616153a88c37a09f1f45cb43580ccb
SHA-256：612e14c615a6cde2d55021823854365d72913cc12fbb33c55139af9e058ccac0

建议双击，注意危险

已知行为：
1. 复制自身并且重命名为aaarypbykrbzp.exe/AAARYpbYkRBZP.exe
2. 检查运行机器的IP地址（通过在线服务查找公共IP地址）和机器码，直接获取CPU时钟
3. 通过PowerShell命令绕过Windows Defender，通过PowerShell进程修改Windows Defender设置，检查内核调试器，遍历所有进程

anthonyqian

F-Secure

自家云杀（Trojan:W32/Generic.abch!fsmind）

00006666

现在的APT一般不会有这种样本，这种类型的可能RedTeam测试比较多。

漂洋过海123

00006666 发表于 2022-2-14 15:15
现在的APT一般不会有这种样本，这种类型的可能红队测试比较多。

邮件传播的

传播方式、免杀和行为极像apt

Solomondemeter

eset 下载过程中即时拦截时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
14/2/2022 下午 3:16:40;HTTP 过滤器;文件;https://down.wss1.cn/rke6eq6/7/l ... osition=attachment; filename="NWD5671.pdf.zip"; filename*=utf-8''NWD5671.pdf.zip;MSIL/Kryptik.AEGN 特洛伊木马 的变量;连接已终止;PIXEL\123;尝试通过应用程序访问 Web 时发生事件: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe (9267B35A9409B68FBD5E920C351F083C24C52F52).;B3C628CC3B0E32984BE8173C779E22975874607C;

00006666

漂洋过海123 发表于 2022-2-14 15:16
邮件传播的

免杀和行为极像apt

这种的才像是APT样本:https://www.virustotal.com/gui/file/6b67e83183076ccf8159082623ec5a778b970d35441a7b7cadab1128c771ea2b/summary (其实就是APT27的样本)

现在的APT样本一般不会有.pdf.exe这种名字

swizzer

锁库智量
DB:2022/1/24

00006666

APT是不会有行为这么明显的样本的，不然EDR直接都告警了

https://ata.360.net/report/17567763202048/analyse

漂洋过海123

00006666 发表于 2022-2-14 15:30
APT是不会有行为这么明显的样本的，不然EDR直接都告警了

https://ata.360.net/report/17567763202 ...

你还真别说，到目前我都没发现后门行为有跑出来过

跑出来的全都是那种文件自身和逃脱防御的行为

00006666

漂洋过海123 发表于 2022-2-14 15:32
你还真别说，到目前我都没发现后门行为有跑出来过

跑出来的全都是那种文件自身和逃脱防御的行为

就是这种沙箱都会显示的高危行为才明显