HalfTimeOfLife/Analysis_wine_APT29_2025

GitHub: HalfTimeOfLife/Analysis_wine_APT29_2025

针对 APT29 组织 Wine 恶意软件的深度分析项目,提供逆向分析报告、ATT&CK 技术映射及可复现的 PoC 环境。

Stars: 0 | Forks: 0

# wine APT29 针对该钓鱼活动的分析,特别关注恶意软件 wine.EXE 及其行为。其中还包含一个关于该恶意软件行为的小型 PoC。 ![警告](https://img.shields.io/badge/Warning-Malware%20Sample-red) **本仓库包含恶意软件样本。强烈建议仅在您信任的安全且隔离的环境中执行代码。** ## 本仓库包含什么内容? - [mitre](mitre/) : MITRE ATT&CK 组件: - [heatmap/apt29_wineloader_heatmap.png](mitre/heatmap/apt29_wineloader_heatmap.png) : ATT&CK 热力图 (PNG)。 - [heatmap/apt29_wineloader_heatmap.svg](mitre/heatmap/apt29_wineloader_heatmap.svg) : ATT&CK 热力图 (SVG)。 - [apt29_wineloader_layer.json](mitre/apt29_wineloader_layer.json) : ATT&CK Navigator 层源文件。 - [Poc](PoC/): 此目录包含用于 PoC 的所有代码: - [server.py](PoC/server.py) : 尝试模拟原始服务器(`ophibre.com`)的 Python 自定义服务器。 - [Report](Report/) : 此目录包含三个展示该恶意软件分析结果的文件: - [record_wine.mp4](Report/record_wine.mp4) : 展示该恶意软件在自定义服务器上运行的视频。 - [ppcore.dll.bndb](Report/ppcore.dll.bndb) : 包含 `ppcore.dll` 分析结果的 Binary Ninja 数据库。 - [Report_fr.md](Report/Report_fr.md) : 关于整个恶意软件分析的法语报告。 - [Report.md](Report/Report_fr.md) : 关于整个恶意软件分析的英语报告。 - [Ressources](Ressources/) 此目录包含运行 PoC 的额外资源,如果您想进行测试,需要下载该恶意软件样本: - **adfe0ef4ef181c4b19437100153e9fe7aed119f5049e5489a36692757460b9f8.exe** : 用于安装后门以及进行一些测试(anti-vm、anti-analysis、anti-debug 等)的库(`vmtools.dll`)(您可以在 [MalwareBazaar](https://bazaar.abuse.ch/browse/) 上找到它) - **generate_cert.ps1** : PowerShell 脚本,用于为 PoC 生成一个**虚拟的自签名 TLS 证书**(`cert.pem`)及其关联的私钥(`key.pem`)。 此脚本适用于 **Windows 原生环境**,且生成的证书**仅用于研究和演示目的**。 生成的证书和密钥**与原始恶意软件基础设施无关**,且**绝不能用于生产环境**。 ## 运行 PoC 要运行 PoC,您需要将对 `ophibre.com` 的 HTTP 请求重定向到您的 localhost 或自定义服务器([server.py](PoC/server.py))运行所在的 IP。 为此,您需要更改 `hosts` 文件: ### 在 Linux 上(适用于使用 *Wine Is Not an Emulator* 的用户): ``` sudo nano /etc/hosts ``` 添加以下行: ``` ophibre.com ``` ### 在 Windows 上: 以管理员权限打开:`C:\Windows\System32\drivers\etc\hosts` 添加以下行: ``` ophibre.com ``` ### 启动 PoC 然后在命令行中启动 Python 服务器: ``` python.exe server.py ``` 最后编译 [dummy.c](PoC/dummy.c) 并运行它: ``` ./dummy.exe ``` 以下视频是 PoC 功能的证明:[record_poc.mp4](PoC/record_poc.mp4) 您还可以观看使用 wine 恶意软件样本时服务器的行为表现:[record_wine.mp4](Report/record_wine.mp4) ## ATT&CK 覆盖范围 [![ATT&CK 热力图](https://static.pigsec.cn/wp-content/uploads/repos/cas/0d/0dff0b6307c2dd95816b63f1a44c0db6547ea9bd964a8802f450dedb257c5a27.png)](mitre/heatmap/apt29_wineloader_heatmap.svg) ## 参考资料 - [针对欧洲外交官的新一轮 APT29 钓鱼活动 ](https://research.checkpoint.com/2025/apt29-phishing-campaign/?source=post_page-----fd72fa1430b6---------------------------------------),2025年4月15日,Check Point Research: CPR
标签:AI合规, APT分析, DAST, DNS 反向解析, IP 地址批量处理, PoC, 云资产清单, 威胁情报, 客户端加密, 开发者工具, 恶意软件分析, 暴力破解, 逆向工具, 逆向工程