如果存在 deer.exe 的話就執行 LIZDPgJxmcKthWABqzb 並 sleep 一段時間 , 接著再刪除 deer.exe ( any.run 和我的環境中都沒有產生 deer.exe )  修改註冊表  跟這篇提到的行為類似 , 會藉由修改 VBAWarnings 和 AccessVBOM　來降低 Office Macro 的安全性 , 將 vbawarnings 關閉有利於往後的開機啟動 Disable all with notification Value Name vbawarnings Value Type REG_DWORD Value 2 Disable all except digitally signed macros Value Name vbawarnings Value Type REG_DWORD Value 3 Disable all without notification Value Name vbawarnings Value Type REG_DWORD Value 4 Enable all macros (not recommended) Value Name vbawarnings Value Type REG_DWORD Value 1 * bunch of dll (for sql) : 輔助 malware 和 sqlite 執行 觀察封包後發現使用者會傳送一個帶有豐富使用者訊息的 zip 檔 , zip 檔內包括:  * 瀏覽器 cookie * 系統資訊 ( 安裝了哪些程式 , OS , CPU ... )  * outlook 帳密 ip malware 把 zip 解包後隨即將 dll 檔載入記憶體   乍看之下，會以為這隻mal沒有加殼，但是實際是有的。 在動態分析手動把殼給拆了之後，會發現原本亂七八糟的字串有被解回明文 之後繼續分析 ## browser related 解殼後的惡意程式字串中有很多 browser 名  尋找引用到 browser 字串的程式碼 , 發現 Malware 會到 userprofile 下抓取瀏覽器使用者資訊  :::info 儲存 browser 訊息的檔案 userprofile/\/User Data  被竊取資訊的程式包括: * google chrome * google chrome SxS * Microsoft Edge * chromium * Xpom * Comodo Dragon * Agmigo * Orbitum * Bromium * Brave * NichromeNichrome * RockMelt * 360Browser * Vivaldi * Opera * Sputnik * Kometa * Uran * CocCoc * CentBrowser * 7Star * TorBro * Shuba * Safer Browser * Mustang * Superbird * Chedot * Torch * QQ Browser * UC Browser * Waterfox * SeaMonkey * PaleMoon * ThunderBird * bitwarden * Atomic * 1password 惡意程式竊取 Cookie 手法大致如下 * 從 `%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Local State` 竊取 decodes AES key * sqlite3 連接 `%USERPROFILE%\AppData\Local\Google\Chrome\User Data\default\Cookie` 再從中獲取包括 encrypted cookie 在內的機密資訊 SELECT <主機> , , <創建 utc>, <過期 utc>, <加密後的 cookie> FROM cookies * 將加密後的 cookie 以 decodes AES key 解密 惡意程式執行 sqlite3_open_v2 開啟使用者目錄下的 frAQBc8Wsa  frAQBc8Wsa 為 SQLite database , 為程式在執行過程中產生檔案 , 結束時會自動刪除  ## outlook related 惡意程式會透過 WinAPI 讀取與 outlook 帳戶相關的 registry key    ## C2 related 跟其他病毒的關係 可能屬於哪了apt ## 結語 網路的世界真的很黑暗，請大家保護好自身的資料 ## C2 服務觀察 與 telete.in ( 195.201.225.248 ) 連接 , 連接成功的話會從 185.234.247.75 下載 dll 檔 與 telete.in 正常連接封包  telete.in 於 7/31 晚上暫停服務  8/1 下午又再次重啟 ## 評審講評 ### Duck 1. case1 在 diamond model 的受害者，可以以圖搜圖，看有沒有誰也中獎，查看真實受害者是誰 (microsoft user 太廣義) 2. 為什麼選這幾個範本? 隨機嗎 ### Arogorn 1. browser 拿取方式跟評審想像不太一樣，通常是使用 dbAPI 來做解密，你們真的有成功加解密嗎 ### TT(亂入) 1. (Diamond model，四個方向不是獨立，而是非常相關的，例如透過 capability victim infra 的線索去拼湊出關於更多 adversary 的線索) ### 逢甲大學王銘鴻助理教授 1. 為什麼選這兩隻? 有什麼特點 2. 報告可以多點補充，要顧慮到有些同學沒有相關背景 ### 台大資工蕭旭君教授 1. 可以多一點標示註記，那些是你們逆的，哪些是你們找的