首頁 > 關于我們 > 新聞動態 > 深度解讀

海蓮花組織最新攻擊事件分析

發布時間 2018-06-09

海蓮花(OceanLotus、APT32)是一個具有越南背景的黑客組織。該組織最早被發現于 2012 年 4月攻擊中國海事機構、海域建設部門、科研院所和航運企業。主要使用魚叉和水坑攻擊方式,配合社工手段,利用特種木馬進行符合越南國家利益的針對性竊密活動。

 

近日,啟明星辰金睛安全研究團隊發現了一起該組織的最新攻擊事件,還原了從載荷投遞到最后釋放遠控后門的整個攻擊過程。

 

◆載荷分析◆

 

本次投放的惡意文檔名為??n khi?u n?i,文件名為越南語,翻譯后中文意思為“投訴”。

 

 

該文檔實際為一個惡意宏文檔,打開后會顯示誘惑用戶啟動宏開關的圖片

 

 

 

通過進入宏代碼窗口,發現設置了密碼保護。

 

 

經過處理,我們獲取到了一段混淆較為嚴重的VBS代碼。

 

 

經過混淆解密后,可以得到以下VBS代碼。

 

 

解密后,該腳本會去加載一段新的vbscript腳本。值得一提的是,在獲取該段腳本過程中,我們發現存在區域限制問題,即在某些國家和地區無法對其進行下載,最后我們通過某些途徑將其獲取到。

 

◆VBS Loader分析◆

 

得到該腳本后,我們發現該段代碼也具有強混淆手法。

 

 

經過分析發現,原始文件存在3段代碼,分別使用了0x35, 0x39, 0x35作為異或解密的密鑰。

 

第一段代碼如下所示。這段代碼新建了一個Excel對象,并修改了注冊表中AccessVBOM的值,使腳本可以對宏進行調用執行。

 

 

第二段代碼為該Excel對象的宏代碼,該段宏代碼經過了一定的混淆,并使用了0x78來異或加密其中的字符串。并使用CreateProcess來調用rundll32,然后將一段shellcode注入到該進程中,并最終通過CreateRemoteThread加載該段shellcode。

 

shellcode的前半部分是base64解碼程序,后半部分是base64數據。

 

宏代碼中的shellcode內容如下所示。

 

 

 

shellcode的前0x76個字節是一個loader,作用是對后面的數據進行解碼并加載。該數據的編碼為base64,經過解碼后可以得到另一段shellcode,如下所示。

 

 

 

這段shellcode會連接C&C服務器,下載另一段shellcode內容并直接加載。

 

第三段代碼如下所示。這段代碼調用了該Excel的Auto_Open函數,并關閉Excel對象,恢復注冊表中的AccessVBOM字段。

 

 

◆遠控分析◆

 

最終的shellcode在下載完成并運行后,首先shellcode頭部通過將偏移0x34和0x38處的數據進行異或求得數據的總長度,然后對隨后的數據進行異或解密,在全部解密完成后開始執行代碼。

 

 

解密后得到一個DLL文件,該文件的導出模塊名為17f2d8.dll,導出函數名為_ReflectiveLoader@4。

 

 

 

在DllMain函數的開頭,會對0x10030028處大小為0x1000的數據進行異或0x69解密。

 

 

在解密后的數據中,可以發現該后門回連的C&C服務器為:

 

https://***.***.net,/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books

 

 

另外,該樣本也在請求中將自己偽造為amazon.com,將傳輸的數據編碼后隱藏在Cookies字段中。

 

 

當得到C&C服務器發過來的指令后,該遠控便會執行相應的操作,通過統計發現有長達72種指令。

 

 

以下為其中幾種指令的功能。

 

 

◆溯源與關聯分析◆

 

Shellcode關聯

 

結合該VBS腳本下載的shellcode的編寫技巧,我們通過以往追蹤海蓮花組織的經驗,發現該段shellcode與以往海蓮花組織所使用的shellcode手法幾乎一致。

 

(上圖為本次攻擊中使用的shellcode,下圖為以往海蓮花所使用的shellcode)

 


同源性關聯分析

 

除了shellcode外,從本次攻擊中最后釋放的遠控,與在我們以往披露的海蓮花組織報告中(詳見《2017網絡安全態勢觀察報告》),無論是回傳特征,還是代碼結構甚至偽裝成amazon的host主機回傳信息的行為都幾乎一致。

 


 

因此可以確認,本次攻擊確為海蓮花組織發起,并且該組織仍然在沿用以往的武器。

 

本次攻擊中所使用的樣本文件名為越南語書寫,且標題與商業相關,因此很有可能目標針對越南相關的私營企業。

 

◆解決方案◆

 

1、目前,啟明星辰VenusEye威脅情報中心已經支持針對此次攻擊所涉及情報的查詢。

 

 

2、天闐高級持續性威脅檢測系統無需升級即可檢測相關攻擊樣本。

 

 

3、天闐入侵檢測系統、天清入侵防御系統等已經支持對此海蓮花組織攻擊活動的檢測,相關事件名:HTTP_木馬_海蓮花_連接。


金睛安全研究團隊是啟明星辰集團檢測產品本部專業從事威脅分析的團隊。主要職責是對現有產品搜集上報的安全事件、樣本數據進行挖掘、分析,并向用戶提供專業分析報告。該組織會依據數據產生的威脅情報,對其中采用的各種攻防技術做深入的跟蹤和分析,并且給出專業的分析結果、提出專業建議,為用戶決策提供幫助。

上一篇 下一篇