1. 攻击流程分析  

该攻击活动基本流程如图所示。恶意dll文件在受害者终端上通过执行正常应用而被加载起来，进而从同文件夹下的加密数据中解密出需要的数据和Shellcode，分阶段对操作系统中的dll文件和exe文件进行注入操作，最终加载执行开源远控工具asyncRAT client，实现对受害者计算机的远程控制。

2. 载荷投递分析 

下载并解压后文件夹内含多个文件，包括一个正常的exe文件，多个dll文件（其中之一为恶意程序），两个加密的数据文件。双击exe文件运行后，便开始进行多阶段解密和注入。

第一阶段  

首先从“kcc”文件中解密出相关函数或模块名称LoadlibraryA、VirtualProtect、dbghelp.dll，用以之后实施注入操作。其中VirtualProtect是Windows操作系统中专门用于修改内存页保护属性的API，常用于需要在内存中修改代码或数据的场景。攻击者正是借助这个API实现了对正常PE文件的修改注入操作。    

然后加载dbghelp.dll并调用VirtualProtect修改权限，复制数据到dbghelp.dll进行篡改。

我们dump出注入的内容，可以看到如下代码。首先是动态获取各类函数地址。    

然后将文件夹内的“uvlrbci”文件内容的解密，解密算法为与0xB15E495D的4字节异或运算。

第二阶段   

将上述解密出来的内容再次进行解压，解压出的明文内包含第二阶段注入操作需要的相关字符串和代码。    

进而使用与第一阶段类似的方法将代码注入pla.dll。

注入代码的第一步同样是动态获取函数地址，并在用户临时文件夹下新建随机命名的临时文件，以备下一阶段写入Shellcode。    

第三阶段

在pla.dll中注入的内容中特别引入了“Heaven’s Gate”技术手段来对抗分析和调试。即在32位程序中插入一段汇编指令，将CS寄存器修改为0x33后进入64位模式。

紧随其后的指令便转入64位模式执行，待执行完成后，再通过以下指令返回32位模式。

通过这种方法，该样本顺利实现了64位NtCreateThreadEx、NtWriteVirtualMemory等API调用，注入下一阶段Shellcode，创建cmd.exe进程，并以管道方式与之通信，使它执行命令。

在cmd.exe进程中，读取了第二阶段创建的临时文件并解密出下一阶段Shellcode。    

创建新进程“C：\Windows\Microsoft.NET\Framework\v4.0.3039\MSBuild.exe”,以创建线程方式注入最终攻击组件。    

3.攻击组件分析

最终攻击组件为经过混淆的asyncRAT客户端，这是一款2019年发布的开源远控工具，使用C#语言编写（https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp ）。主要功能包括记录键盘、监控屏幕、读取网页浏览器中保存的密码、持久化驻留、加解密、与C2服务器进行网络通信等。

攻击者C2服务器的域名为warpower[.]dynuddns.net，端口为7171。

其他配置信息如下：

 二、归属研判   

判断该攻击活动与APT-C-36（盲眼鹰）组织相关，原因如下：

(1) 该攻击活动与该组织近期的钓鱼内容和目标人群十分类似^[1]；

(2) 该攻击活动与^[2]中近期揭露的手法和最终载荷类似，均存在图片形式文件和使用asyncRAT开源远控工具的情况。

与过往行为区别之处在于，本次攻击活动隐藏自身的手段主要在于恶意载荷的多阶段反复注入和“Heaven’s Gate”对抗手段的引入，这说明该组织的技术存在向高级阶段演进的趋势。

C2:

[1]https://mp.weixin.qq.com/s/DDCCjhBjUTa7Ia4Hggsa1A

[2]https://securelist.com/blindeagle-apt/113414/