APT34泄漏工具——PoisonFrog和Glimpse分析

0x00 前言

最近APT34的6个工具被泄露。本文仅从技术角度分析PoisonFrog和惊鸿一瞥。

参考资料：

https://malware-research.org/apt34-hacking-tools-leak/amp/

0x01 简介

本文将介绍以下内容：

毒死蜱的分析

《惊鸿一瞥》分析

总结

0x02 对PoisonFrog的分析

对应泄露文件的名字是posion frog。

它由两部分组成：

Agent包含文件poisonfrog.ps1，是通过powershell实现的特洛伊木马程序。

服务器端，对应木马控制终端，使用Node.js开发

1、agent实现的功能

1. 在%public%\Public文件夹下释放三个文件

dUpdater.ps1

hUpdater.ps1

更新任务. vbs

发布文件的具体功能如下：

(1)dUpdater.ps1

生成当前系统的专有标志。

读取当前系统的代理设置。

通过HTTP协议从c2服务器下载文件

根据下载文件的内容进行下一步，包括执行命令、上传文件和下载文件。

(2)hUpdater.ps1

生成当前计算机的专有标志。

创建以下文件夹

%公共% \公共

% public % \ Public \ reveivebox

%public%\Public\sendbox

% public % \ Public \完成

通过DNS A记录接收来自c2服务器的控制命令

执行命令并返回结果。

(3)更新任务

内容如下：

command 0=' powershell . exe-exec bypass-file C:\ Users \ Public \ Public \ Hu pdater . PS1 '

set shell 0=CreateObject(' wscript . shell ')

shell0.run命令0，0，false

command 1=' powershell . exe-exec bypass-file C:\ Users \ Public \ Public \ dupdater . PS1 '

set shell 1=CreateObject(' wscript . shell ')

shell1.run命令1，0，false

用于加载powershell脚本dUpdater.ps1和hUpdater.ps1

2. 创建两个计划任务

名称为\UpdateTasks\UpdateTask，每10分钟运行一次，以当前用户权限执行UpdateTask.vbs。

名称为\UpdateTasks\UpdateTaskHosts，每10分钟运行一次，以系统权限执行UpdateTask.vbs。

2、 对server side的分析

由Node.js实现

使用时，需要先通过npm安装第三方包。具体的安装命令位于install_pachages.bat文件中

Index.js是主程序。

为了避免被滥用，没有详细分析控制端的代码，也没有提供具体的构造方法。

注：

我在之前的文章《渗透测试中的Node.js——Downloader的实现》和《渗透测试中的Node.js——利用C++插件隐藏真实代码》中已经介绍了Node.js的使用方法。Node.js的基础知识可以参考这两篇文章。

使用Node.js实现服务器端有以下优点：

语法简单易懂。

轻巧高效

它可以部署在Windows和Linux系统上。

3、该工具的公开线索

APT34利用CVE-2017-11882传播木马，火眼分析样本：

https://www . fire eye . com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt 34 . html

Palo Alto Networks将其命名为Early BondUpdater，样本的分析数据：

https://unit 42 . Palo alto networks . com/DNS-tunneling-in-the-wild-overview-of-oil rigs-DNS-tunneling/

0x03 对Glimpse的分析

对应的泄露文件的名字是惊鸿一瞥。

它由四部分组成：

代理，包含四个文件：dns.ps1、dns_main.ps1、refineddns_main.ps1和runner_。vbs

Panel，里面有一个c#开发的界面程序，是界面木马控制终端。

Server是Node.js开发的木马控制终端

Me.txt，配置说明文件

1、agent实现的功能

dns.ps1、dns_main.ps1和refineddns_main.ps1的功能是一样的。

最初的版本是dns_main.ps1

Dns.ps1和refineddns_main.ps1只是用无意义的混淆字符串替换的变量名。

dns_main.ps1的功能如下：

创建文件夹%public%\Libraries

确定文件%public%\Libraries\lock是否存在。

如果它不存在，创建一个文件并将其写入当前powershell进程的pid。

如果文件存在，读取文件创建时间，如果距离当前时间超过10分钟，将退出进程并删除锁文件。

生成当前系统的专有标志，并将其写入文件%public%\Libraries\quid。

创建以下文件夹

%public%\Libraries\files

%public%\Libraries

% public % \ Libraries \ reveivebox

%public%\Libraries\sendbox

%public%\Libraries\done

通过DNS A记录或DNS TXT记录接收来自c2服务器的控制命令

执行命令并返回结果。

2、 对server的分析

由Node.js实现

使用时，需要先通过npm安装第三方包。具体的安装命令位于readme.txt文件中。

与PoisonFrog相比，Glimpse优化了代码结构，增加了通过DNS TXT记录和传输数据的功能。

为了避免被滥用，没有详细分析控制端的代码，也没有提供具体的构造方法。

3、该工具的公开线索

Palo Alto Networks将其命名为Updated BondUpdater，样本的分析数据为：

https://unit 42 . Palo alto networks . com/unit 42-oil rig-uses-updated-bond updater-target-middle-eastern-government/

0x04 小结

对于PoisonFrog和Glimpse来说，虽然这次泄露了工具的源代码，但是早在2017年就已经被抓取并分析清楚了。个人认为该工具不存在被大规模滥用的隐患。而且用DNS协议传输数据也是很老的方法了。个人认为这个工具不会导致恶意软件技术的升级。

留下回复