零杀软检出，我国遭到“海莲花”新手法攻击

栏目: 编程工具 · 发布时间: 4年前

内容简介：“海莲花”，又名APT32和OceanLotus，是越南背景的黑客组织。该组织至少自2012年开始活跃，长期针对中国能源相关行业、海事机构、海域建设部门、科研院所和航运企业等进行网络攻击。除中国外，“海莲花”的目标还包含全球的政府、军事机构和大型企业，以及本国的媒体、人权和公民社会等相关的组织和个人。近日，微步在线狩猎系统捕获到一个APT32最新针对我国进行攻击的诱饵文件，分析之后发现：诱饵文件名为“2019年第一季度工作方向附表.rar”，该诱饵在攻击过程中使用了两层白利用进行DLL劫持，第一层为Wor

概要

“海莲花”，又名APT32和OceanLotus，是越南背景的黑客组织。该组织至少自2012年开始活跃，长期针对中国能源相关行业、海事机构、海域建设部门、科研院所和航运企业等进行网络攻击。除中国外，“海莲花”的目标还包含全球的政府、军事机构和大型企业，以及本国的媒体、人权和公民社会等相关的组织和个人。

近日，微步在线狩猎系统捕获到一个APT32最新针对我国进行攻击的诱饵文件，分析之后发现：

诱饵文件名为“2019年第一季度工作方向附表.rar”，该诱饵在攻击过程中使用了两层白利用进行DLL劫持，第一层为Word白利用，第二层为360安全浏览器白利用。两层白利用是APT32新的攻击手法，截至报告时间，该诱饵尚无杀软检出。

此次攻击最终投递的木马为Cobalt Strike Beacon后门，具备进程注入、文件创建、服务创建、文件释放等功能，C2通信使用Safebrowsing可延展C2配置。

微步在线通过对相关样本、IP和域名的溯源分析，共提取5条相关IOC，可用于威胁情报检测。微步在线的威胁情报平台(TIP)、威胁检测平台(TDP)、API等均已支持此次攻击事件和团伙的检测。

详情

自活跃以来，APT32一直持续针对我国进行网络攻击。在攻击过程中，APT32一直在尝试不同方法以实现在目标系统上执行恶意代码和绕过安全检测，其中经常使用的包含白利用和C2流量伪装等。近日，微步在线狩猎系统捕获了一个APT32针对我国进行攻击的诱饵，该诱饵使用了两层白利用进行DLL劫持，第一层为Word白利用，第二层为360安全浏览器白利用，最终投递的木马为Cobalt Strike Beacon后门，C2通信使用Safebrowsing可延展C2配置。

诱饵“2019年第一季度工作方向附表.rar”整体攻击流程如下:

截至报告发布时间，微步在线云沙箱多引擎检测和VirusTotal多引擎检测均为0，如下图：

样本分析

诱饵“2019年第一季度工作方向附表.rar”为一压缩文件，解压得到“2019年第一季度工作方向附表.EXE” 和“wwlib.dll”，其中“2019年第一季度工作方向附表.EXE”为包含有效数字签名的Word 2007可执行程序，打开会加载同目录下的wwlib.dll，wwlib.dll被设置了系统和隐藏属性。相关截图如下:

零杀软检出，我国遭到“海莲花”新手法攻击

1.下面对wwlib.dll进行分析。

1)wwlib.dll的基本信息如下：

SHA256	236623cd3be93a832ae86bb7bfbf66e6d5e00abbc6ebc6555c09988412448391
SHA1	fb46ed36c2f2dfd6ecfa898cd6cb176c4950df4f
MD5	05e513c612b0384804db9bda5277087c
文件格式	PE 文件(DLL)
文件大小	1.37MB
文件名	wwlib.dll
时间戳	2019-02-11 11:12:21

2)DLL通过白利用被加载之后，会获取系统盘符，然后在“\ProgramData\360seMaintenance\”目录写入“chrome_elf.dll”和“360se.exe”文件，其中“360se.exe”是带数字签名的白文件，相关截图如下:

零杀软检出，我国遭到“海莲花”新手法攻击 3)恶意“wwlib.dll”还会根据EXE程序名构造“2019年第一季度工作方向附表.docx”字符串，然后在系统Temp目录写入带密码的docx文档，用于伪装自己是一个正常的文档，相关代码:

4)如果首次运行，则会在注册表目录“Software\\Classes\\”创建“.doc”和“.docx”项，然后调用WORD程序打开释放到Temp目录的.docx文件，相关代码：

5)第二次运行查询“Software\\Classes\\”存在“.doc”和“.docx”，则执行“360se.exe”文件，并附加Temp录释放的docx文件路径为参数，相关代码：

2.下面对chrome_elf.dll进行分析

1)chrome_elf.dll基本信息如下：

SHA256	a2d2b9a05ed5b06db8e78b4197fc5ea515f26d5626d85f3b1b39210d50552af3
SHA1	f49607fe57cc0016dce66c809e94d9750b049082
MD5	3b132e407474bc1c830d5a173428a6e1
文件格式	PE文件(DLL)
文件大小	191KB
文件名	chrome_elf.dll
时间戳	2019-02-11 3:12:43

2)chrome_elf.dll被360se.exe加载，然后在DLL初始化中，解析参数，然后调用WORD程序打开参数中的文件，并调用CryptAPI函数解密内存中的URL链接，解密后的URL为 “ https://officewps.net/ultra.jpg ”，部分CryptAPI函数代码：

零杀软检出，我国遭到“海莲花”新手法攻击 3)然后“360se.exe”调用DLL中的“SignalInitializeCrashReporting”执行判断是否存在“360se.exe” 进程，如果不存在则不执行恶意代码，相关代码：

4)然后从 https://officewps.net/ultra.jpg 下载payload进行第三阶段攻击，相关代码：

5)下载完成后拷贝payload到新申请内存空间，跳转到payload的0偏移位置执行，相关代码：

3.第三阶段“ultra.jpg”分析：

1)ultra.jpg基本信息如下：

SHA256	5ccfc54e083970d5c34b890d27d8a7af5eb4f8ae4ab0e93c61a6776e5d31b54c
SHA1	7fa2446c948e25953dcd36b27a976a2691dca977
MD5	802cb895c1f0085611c74edf2b177df6
文件格式	shellcode
文件大小	205KB
文件名	ultra.jpg

2)首先payload的Shellcode会获取相关API地址，相关API截图:

3)然后循环解密payload中的数据，解密完成后是一个DLL版的Cobalt Strike Beacon后门。

4)调用CreateThread创建线程，从解密出来的0偏移位置执行，进行反射加载DLL。

5)连接C2地址和请求URL进行上线请求，C2通信使用Safebrowsing可延展C2配置。

6)该后门包含的C2命令多达76个，具体包含进程注入、文件创建、服务创建、文件释放等等。

关联分析

根据此次攻击相关的TTPs和背景信息，我们认为背后攻击者为APT32。此次攻击与此前的一些攻击的对比如下：

	此次	此前
诱饵文件	RAR压缩包，包含Word可执行文件和wwlib.dll	RAR/ZIP压缩包，包含Word可执行文件和wwlib.dll，等
攻击手法	Word白利用，360安全浏览器白利用	Word、Adobe、Google、Neuber等白利用
迷惑手法	wwlib.dll设置系统和隐藏属性(攻击中国时)，释放并打开带密码的文档	wwlib.dll设置系统和隐藏属性(攻击中国时)，释放并打开带密码的文档
投递木马	Cobalt Strike Beacon	Cobalt Strike Beacon
C2通信	Safebrowsing可延展C2配置	Safebrowsing、Amazon等可延展C2配置

*本文作者：Threatbook，转载请注明来自FreeBuf.COM

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。

码农书籍

代码里的世界观——通往架构师之路

余叶 / 人民邮电出版社 / 2018-11 / 59.00元

本书分为两大部分，第一部分讲述程序员在编写程序和组织代码时遇到的很多通用概念和共同问题，比如程序里的基本元素，如何面向对象，如何面向抽象编程，什么是耦合，如何进行单元测试等。第二部分讲述程序员在编写代码时都会遇到的思考和选择，比如程序员的两种工作模式，如何坚持技术成长，程序员的组织生产方法，程序员的职业生涯规划等。一起来看看《代码里的世界观——通往架构师之路》这本书的介绍吧!

码农工具