内容简介:“海莲花”,又名 APT32 和 OceanLotus,是越南背景的黑客组织。自2012年活跃以来,长期针对中国能源相关行业、海事机构、海域建设部门、科研院所和航运企业等进行网络攻击。除中国外,“海莲花”的目标还包含全球的政府、军事机构和大型企业,以及本国的媒体、人权和公民社会等相关的组织和个人。在攻击过程中,APT32 一直在尝试不同方法以 实现在目标系统上执行恶意代码和绕过安全检测,其中经常使用的包含白利用和 C2 流量伪装等。
“海莲花”,又名 APT32 和 OceanLotus,是越南背景的黑客组织。
自2012年活跃以来,长期针对中国能源相关行业、海事机构、海域建设部门、科研院所和航运企业等进行网络攻击。除中国外,“海莲花”的目标还包含全球的政府、军事机构和大型企业,以及本国的媒体、人权和公民社会等相关的组织和个人。
在攻击过程中,APT32 一直在尝试不同方法以 实现在目标系统上执行恶意代码和绕过安全检测,其中经常使用的包含白利用和 C2 流量伪装等。
近日,微步在线狩猎系统捕获了一个 APT32 针对我国进行攻击的诱饵,该诱饵使用了两层白利用进行 DLL 劫持,第一层为 Word 白利用,第二层为 360 安全浏览器白利用,最终投递的木马为 Cobalt Strike Beacon 后门,C2通信使用 Safebrowsing 可延展 C2 配置。
诱饵“2019 年第一季度工作方向附表.rar”整体攻击流程如下:
分析后发现:
诱饵文件名为“2019 年第一季度工作方向附表.rar”,该诱饵在攻击过程中使用了两层白利用进行 DLL劫持,第一层为 Word 白利用,第二层为 360 安全浏览器白利用。两层白利用是 APT32 新的攻击手法, 截至报告时间,该诱饵尚无杀软检出。
此次攻击最终投递的木马为 Cobalt Strike Beacon 后门,具备进程注入、文件创建、服务创建、文件释放等功能,C2 通信使用 Safebrowsing 可延展 C2 配置。
微步在线通过对相关样本、IP 和域名的溯源分析,共提取 5 条相关 IOC,可用于威胁情报检测。
截至报告发布时间,未有杀软检出。
样本分析
诱饵“2019 年第一季度工作方向附表.rar”为一压缩文件,解压得到“2019 年第一季度工作方向附表.EXE” 和“wwlib.dll”,其中“2019 年第一季度工作方向附表.EXE”为包含有效数字签名的 Word 2007 可执行程序, 打开会加载同目录下的 wwlib.dll,wwlib.dll 被设置了系统和隐藏属性。相关截图如下:
1、 下面对 wwlib.dll 进行分析
1) wwlib.dll 的基本信息如下:
2) DLL 通过白利用被加载之后,会获取系统盘符,然后在“\ProgramData\360seMaintenance\”目录写 入“chrome_elf.dll”和“360se.exe”文件,其中“360se.exe”是带数字签名的白文件,相关截图如下:
3) 恶意“wwlib.dll”还会根据 EXE 程序名构造“2019 年第一季度工作方向附表.docx”字符串,然后 在系统 Temp 目录写入带密码的 docx 文档,用于伪装自己是一个正常的文档,相关代码:
4) 如果首次运行,则会在注册表目录 “Software\\Classes\\”创建“.doc”和“.docx”项,然后调用 WORD程序打开释放到 Temp 目录的.docx 文件,相关代码:
5) 第二次运行查询“Software\\Classes\\”存在“.doc”和“.docx”,则执行“360se.exe”文件,并附加Temp 目录释放的 docx 文件路径为参数,相关代码:
2、 下面对 chrome_elf.dll 进行分析
1) chrome_elf.dll 基本信息如下:
2) chrome_elf.dll 被 360se.exe 加载,然后在 DLL 初始化中,解析参数,然后调用 WORD 程序打开参 数中的文件,并调用 CryptAPI 函数解密内存中的 URL 链接, 解密后的 URL 为 “https://officewps.net/ultra.jpg”,部分 CryptAPI 函数代码:
3) 然后“360se.exe”调用 DLL 中的“SignalInitializeCrashReporting”执行判断是否存在“360se.exe” 进程,如果不存在则不执行恶意代码,相关代码:
4) 然后从 https://officewps.net/ultra.jpg 下载 payload 进行第三阶段攻击,相关代码:
5) 下载完成后拷贝 payload 到新申请内存空间,跳转到 payload 的 0 偏移位置执行,相关代码:
3、 第三阶段“ultra.jpg”分析
1) ultra.jpg 基本信息如下:
2) 首先 payload 的 Shellcode 会获取相关 API 地址,相关 API 截图:
3) 然后循环解密 payload 中的数据,解密完成后是一个 DLL 版的 Cobalt Strike Beacon 后门。
4) 调用 CreateThread 创建线程,从解密出来的 0 偏移位置执行,进行反射加载 DLL。
5) 连接 C2 地址和请求 URL 进行上线请求,C2 通信使用 Safebrowsing 可延展 C2 配置。
6) 该后门包含的 C2 命令多达 76 个,具体包含进程注入、文件创建、服务创建、文件释放等等。
关联分析
根据此次攻击相关的 TTPs 和背景信息,我们认为背后攻击者为 APT32。此次攻击与此前的一些攻击的对比如下:
文章来源微步在线报告,雷锋网 (公众号:雷锋网) 编辑。
雷锋网雷锋网
雷锋网版权文章,未经授权禁止转载。详情见 转载须知 。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 老板急坏了,线上又出“幺蛾子”了!
- 什么是CSRF攻击、什么是XSS攻击、什么是SQL输入攻击,如何防御攻击
- 对比DoS攻击与DDoS攻击
- 攻击云计算环境的8种攻击矢量
- “黑客”必学攻击之“跨站脚本攻击”
- 黑客如何进行区块链51%攻击(双重攻击)
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Head First Web Design
Ethan Watrall、Jeff Siarto / O’Reilly Media, Inc. / 2009-01-02 / USD 49.99
Want to know how to make your pages look beautiful, communicate your message effectively, guide visitors through your website with ease, and get everything approved by the accessibility and usability ......一起来看看 《Head First Web Design》 这本书的介绍吧!
