海莲花构造针对中国APT进击的最新样本剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

海莲花构造针对中国APT进击的最新样本剖析

申博_新闻事件 申博 212次浏览 已收录 0个评论

黑产大数据:短视频及直播行业的暗潮涌动

引言:本报告是威胁猎人鬼谷实验室出品的黑产大数据系列报告的第3篇,上篇我们深扒在线视频流量行业的黑灰产现状。这次,我们将重点关注短视频和在线直播行业的虚假流量现状。目前短视频及直播行业虚假流量已占黑产流量大头,整篇报告会

1、概述

安天CERT(平安研讨与应急处置惩罚中间)在2018年12月至今,捕捉多例针对中国用户的歹意宏文档进击样本。这些歹意文档经由过程在隐约的笔墨配景上假装出杀毒软件的平安检测结果,引诱受益者启用歹意宏代码,向Word历程本身注入Shellcode,终究在内存中解密和运转后门顺序。依据对该后门的深入剖析,我们发明该样本来自海莲花[1]构造。安天于2015年5月27日宣布关于该构造的剖析申报[1]激发业内对该构造的延续存眷。鉴于安天在事先所捕捉的进击中,发明了进击方运用了商用进击平台Cobalt Strike,安天将其定名为APT-TOCS(即借助CS平台的APT进击构造),但因为运用CS只是该进击构造的一个特征,且缺少构造定名的地缘特征,因而,我们后续接纳了友商360的定名——“海莲花”。本次发明样本与2018年12月ESET[2]暴光过的海莲花专用后门极其类似,而经由过程对后门样本的C2举行联系关系,我们发明了更多经由过程歹意自解压顺序流传该后门的样本。个中局部样本针对中国,更多的样本则针对柬埔寨等多国。局部自解压样本流传的后门,其C2直接衔接到了已知的海莲花构造的收集基础设施。依据专用后门和收集基础设施这两方面的强联系关系性,我们有理由置信这些样本联系关系的进击行动是海莲花APT构造所为。

2、样本剖析

2.1、样本标签

相干进击载荷均为Word文档,但并未运用破绽。而是在个中嵌入歹意宏代码,经由过程宏代码触发后续歹意行动,终究向目的主机植入后门,这是一个阶段以来较为盛行的体式格局。进击者为使受益目的启用宏代码,在文档正文中经由过程一段欺骗性内容引诱用户点击“启用内容”从而触发歹意宏代码实行,我们从这批样本中枚举个中两个的谍报标签:

表 2‑1歹意文档1

海莲花构造针对中国APT进击的最新样本剖析

表 2‑2 歹意文档2

海莲花构造针对中国APT进击的最新样本剖析

2.2、手艺剖析

相干文档样本接纳了社会工程技能,假装出360杀软的平安检测结果,引诱受益者启用附带的歹意宏,其正文内容见图2-1、图2-2所示。

海莲花构造针对中国APT进击的最新样本剖析

图2-1 歹意文档1截图

海莲花构造针对中国APT进击的最新样本剖析

图2-2 歹意文档2截图

歹意样本中包罗被殽杂的vb剧本,解殽杂后发明此剧本作用为:

1.复制以后文件到%temp%文件夹下。

2.猎取并解密第二段剧本,试图写入注册表(”HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Security\AccessVBOM”)。此注册表值为1时,许可对文档的vb模块举行接见和修正,如下图所示:

海莲花构造针对中国APT进击的最新样本剖析

图2-3 读取并修正注册表

3.翻开%temp%下已复制的文档,移除文档中已存在的vb模块,写入新模块(图2-4):

海莲花构造针对中国APT进击的最新样本剖析

图2-4 修正已复制文件

4.翻开已复制文档挪用vb模块中的“x_N0th1ngH3r3”函数如下图所示,以后,歹意文档显现一个子虚音讯,如图2-5、图2-6所示:

海莲花构造针对中国APT进击的最新样本剖析

图2-5 挪用vb函数

海莲花构造针对中国APT进击的最新样本剖析

图2-6 子虚音讯显现

第二段剧本与第一段剧本有颇多类似之处,解密第三段剧本,然后其经由过程设置注册表,取得对本身vb资本修正的才能,并在文档本身中到场第三段剧本:

海莲花构造针对中国APT进击的最新样本剖析

图2-7 第二段剧本主要功用(剧本已反殽杂)

第三段剧本解密出shellcode,并将其注入到winword.exe历程中。剧本进口函数依旧定名为“x_N0th1ngH3r3”,此函数会辨别64位或32位历程,接纳恰当体式格局举行历程注入:

海莲花构造针对中国APT进击的最新样本剖析

图2-8 64位历程注入的前期预备

海莲花构造针对中国APT进击的最新样本剖析

图2-9 32位历程注入的前期预备

注入历程的代码有908 KB (929,792 字节),经由深入剖析发明,这段注入的代码会指导运转终究的后门顺序,该后门已于2018年12月被ESET暴光,为海莲花构造所开辟运用[2]。

后门顺序的原始名称为“{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll”,见下图:

海莲花构造针对中国APT进击的最新样本剖析

图2-10 后门顺序在内存中的信息

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

后门起首举行初始化,将资本节RCData加载至内存中,解密出设置装备摆设数据和库文件:

海莲花构造针对中国APT进击的最新样本剖析

图2-11 后门资本节包罗的RC4加密数据

其解密出的数据内容:

海莲花构造针对中国APT进击的最新样本剖析

图2-12 内存中解密的设置装备摆设数据和库文件

图2-12中从上至下的内容顺次代表:

1.注册表地位:

· HKEY_CURRENT_USER\Software\App\AppX70162486c7554f7f80f481985d67586d\Application

· HKEY_CURRENT_USER\Software\App\AppX70162486c7554f7f80f481985d67586d\DefaultIcon

这两处注册表的键值寄存后门C2返回给受益主机的独一UUID,作为session ID,以现实调试为例:32034d33-aecc-47d4-9dcd-f0e56063087f。

2.httpprov库文件,用于支撑HTTP/HTTPS/SOCKS的体式格局同C2通信,与libcurl静态链接。

初始化完成后,后门最先经由过程HTTP协定POST体式格局,顺次与C2列表中可用的C2通信。HTTP通信的User Agent为:’Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0)’。

海莲花构造针对中国APT进击的最新样本剖析

图2-13 后门同C2通信的硬编码User Agent

3.       后门会针对受益主机天生一个指纹,其支撑的功用包孕:历程操纵、注册表操纵、猎取硬盘信息、当地文件操纵、开释和实行顺序、内存注入等,同之前ESET暴光的版本没有大的转变[2]。如下图所示,case 0x1 挪动文件、case 0x3 猎取硬盘信息、在case 0、2、4、5还包罗:0xe 文件遍历、0xf 删除文件、0x12 建立文件夹、0x13删除文件夹。

海莲花构造针对中国APT进击的最新样本剖析

图2-14 后门指令分支

本次捕捉的海莲花样本较以往在手艺手段上有了肯定水平的进步,运用宏代码举行Shellcode注入,其投放载荷的全程无文件落地,能够看出海莲花构造依旧在主动更新本身进击手段,试图使本身越发隐藏,进而希图更久长的隐蔽于受益者机械。

3、联系关系剖析

在剖析后门C2独一剖析IP:45.122.***.***的时刻,我们注重到了该IP曾被一个假装成Adobe Reader主顺序的歹意自解压顺序“AcroRd32.exe”作为C2衔接运用:

海莲花构造针对中国APT进击的最新样本剖析

图3-1 后门C2联系关系到的自解压顺序

该RAR自解压顺序上传时的文件名为“李建香 (个人简历).exe”,末了修正时候同歹意文档1较为靠近,图标假装成Adobe Reader。运转后经由过程“regsvr32”敕令注册运转歹意控件,然后翻开提醒加密的中文PDF文档,因为以后未猎取暗码,未能知悉正文内容,但现在看来该PDF文档是无歹意行动的。

海莲花构造针对中国APT进击的最新样本剖析

图3-2 C2联系关系到的2018年12月进击中国的自解压样本

经由过程样本联系关系我们找到了更早的时候内,运用雷同手段进击柬埔寨等国的自解压样本:

海莲花构造针对中国APT进击的最新样本剖析

图3-3 2018年7月雷同手段进击越南的样本

海莲花构造针对中国APT进击的最新样本剖析

图3-4 2018年8月VirusTotal平台上与柬埔寨经由过程网页上传的雷同手段的歹意样本

海莲花构造针对中国APT进击的最新样本剖析

图3-5 2019年1月进击目的未知的雷同手段样本

现在发明的一切相干自解压样本,其图标都假装成Adobe Reader、Office和图片等,局部样本的文件名还会假装成诸如:“AcroRd32.exe”、“Excel.exe”、“WinWord.exe”等:

海莲花构造针对中国APT进击的最新样本剖析

图3-6 自解压顺序样本的图标假装

它们包罗的图片和Word文档也都是一般文件,作用是胜利运转歹意载荷后疏散受益者的注重力。

一切自解压样本中包罗的歹意OCX控件的作用,是在内存中解密和挪用终究的后门,我们将提掏出的一切后门样本同第2节中歹意文档开释的后门举行代码比对,发明相互都高度一致,基本能确认具有雷同的泉源。个中局部后门的C2衔接到了已知的海莲花构造的收集基础设施:154.16.***.***该IP曾被多家平安厂商屡次暴光[3],为海莲花构造临时保护和运用。

4、小结

经由过程以上剖析,海莲花构造近期依旧连结活泼。其针对中国以致东南亚多国用户发起进击,经由过程投放带有歹意宏的文档和自解压顺序终究流传海莲花构造的专用后门达成对目的的临时掌握和信息盗取。从运用的后门兵器和收集基础设施(个中局部后门则直接衔接上了已知的海莲花构造的收集基础设施)的特征剖析,相干证据都能注解这些样本来自海莲花进击构造。

如我们此前在 “2018年收集要挟年报(预宣布)”指出的一样,以后“经由过程剖析暴光的体式格局迫使APT进击构造行动收敛”的结果已大打折扣,相干进击方在C2基础设施地点已袒露后,依旧继承运用则是一个明证。这一方面能够使我们摒弃简朴的敲山震虎,就能够让仇人退避三舍的梦想;另一方面,也增加了一般化才能的高等要挟行动体,进击行动的袒出面,为排查剖析和进一步猎杀供应了肯定的时机和前提。

应用Firefox扩大作为C2客户端

注意:这项技术仅在Linux上进行了测试,在Mac或者Windows上无法运行。 Firefox Web扩展 火狐的web扩展其实就是插件的新叫法,用JavaScript代码编写,能够与浏览器的API进行交互。所以,基于这一点,我灵光一闪,想到可以写一个web扩展来作


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明海莲花构造针对中国APT进击的最新样本剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址