TAG:高级可持续攻击、APT32、海莲花、越南、中国
TLP:白
日期:2017-11-22
“海莲花”,又名APT32和OceanLotus,是越南背景的黑客组织。该组织至少自2012年开始活跃,长期针对中国的能源相关行业、海事机构、海域建设部门、科研院所和航运企业等进行网络攻击。除中国外,“海莲花”的目标还包含全球的政府、军事机构和大型企业,以及本国的媒体、人权和公民社会等相关的组织和个人。该团伙一般会先攻陷目标相关的网站进行初期的侦察和信息收集,然后使用邮件钓鱼和水坑攻击对目标组织展开渗透。该团伙使用了Denis等至少6种不同的特种木马和Cobalt Strike等公开工具。
微步在线长期跟踪全球100多个黑客组织。近期,微步在线的狩猎系统捕获到一批APT32的特种木马。其中包含Denis的最新变种和Cobalt Strike Beacon后门等恶意软件。使用微步在线的追踪溯源系统对样本中包含的C2进行关联分析,共计发现上百个Denis相关的C2域名。Denis相关样本如下:
SHA256 | 编译时间 | C2 | 文件名 | 传播源 |
b6b872de14275866bed7d9a7f685a382a29fa298394d21cdd365de452db5a3c8 | 2011-11-16 09:54:10 | nasahlaes.com jeffreyue.com rackerasr.com | adobe-font-pack.exe | |
5dff6bc9e8898f2ed09ced9ac23b7e4d867e90c3efbe42726edcb01ecb0b1673 | 2008-09-17 19:34:18 | urnage.com | Adobe Download Manager flashplayer26pp_ka-install.exe | |
bdb83301a470d202480274df161638f83f8f26e7dda131a11b89a5a3d8259c73 | 2011-11-16 09:54:10 | maerferd.com harinarach.com eoneorbin.com | FirefoxInstaller.exe | http://dload01.s3.amazonaws.com/b89fdbf4-9f80-11e7-abc4-2209cec278b6b50a/FirefoxInstaller.exe |
198e3c9e6f3dbcf586ac90486187ebfffdeb1c5d663131fc60c45451b04cce7a | 2011-11-16 09:54:10 | tsworthoa.com orinneamoure.com lbertussbau.com | 7zS.sfx.exe | |
5091430fac8b608ac612c35a1e29ce47cdeb22429657460dddc660727806b511 | 2009-10-14 22:21:26 | urnage.com | Chi tiet noi dung bai viet dang len bao.docx .exe | |
a17d4568ad5f745d36fc17846d3e0edf63d4e3c9fccb9861579e957f7a560217 | 2011-11-16 09:54:10 | arinaurna.com | Chi tiet danh sach nhan vien sai quy dinh can xu phat.exe | |
8f00c2dab8cc32e0052b7779de0bdc8faa385e890415555e86efdfc3b01cc504 | 2011-11-16 09:54:10 | icmannaws.com avidsontre.com lbertussbau.com | 20170905-Evaluation Table.xls.exe | |
890e5bd2650399d7fc3b543e8d1e65c0385f4d6003186245c8574c1913ca5d64 | 2011-11-16 09:54:10 | aulolloy.com | FirefoxUpdate.exe | http://cdn-download01.s3.amazonaws.com/07b3aa08-86-842a-48b1-8e57-383d56a0d2e9/FirefoxUpdate.exe |
30d06e100215461ad1c5b3bdb7a3b65c61f0ad27ebd733c7a37f40bd4b64932e | 2011-11-16 09:54:10 | arinaurna.com avidilleneu.com oftonlos.com | WinWord.exe | |
c24e6d402a5adf1ece2d6a3dbe270e0904d43119d68e7862555505825a273cad | 2011-11-16 09:54:10 | tephens.com | FontExt.dll | |
4ab2df974e5e563f611d7267916a00c18f819f5b8770ffcfadc5e1959047fb8e | 2011-11-16 09:54:10 | traveroyce.com | FontExt.dll | |
d7549b1ddd668c5706b680654b2c39b6e401c55ecf25d0c4b1bff6468426e7ed | 2011-11-16 09:54:10 | erstin.com dwarduong.com | Thu moi tham du hoi nghi.doc .exe |
这些样本的编译时间明显早于样本包含的C2域名的注册时间,其中大部分样本的编译时间相同,这说明APT32特意修改了编译时间和APT32可能持有一套对应的攻击平台。
文件类型 | PE32 |
文件大小 | 1732096 字节 |
文件名 | adobe-font-pack.exe |
MD5 | fcd7227891271a65b729a27de962c0cb |
SHA1 | e4774211e37d199be9f9f1e8d8fb3fded37b951d |
SHA256 | b6b872de14275866bed7d9a7f685a382a29fa298394d21cdd365de452db5a3c8 |
编译时间 | 2011-11-16 09:54:10 |
该样本在微步威胁分析平台的检测结果如下:
链接:https://x.threatbook.cn/report/b6b872de14275866bed7d9a7f685a382a29fa298394d21cdd365de452db5a3c8
经过详细分析,我们发现该Denis变种与之前版本的Denis木马存在明显不同,说明海莲花团伙仍然在持续改进和更新其攻击工具,与旧版本的Denis木马相比的主要不同点如下:
早期版本 | 新版本 | |
反分析手段 | API反调试+ Shellcode+对抗反编译 | Shellcode+花指令+对抗反编译 |
Payload加载及运行方式 | 注入系统进程如svchost.exe,arp.exe等 | 自身写入执行不同功能的内存PE,且PE间存在交互 |
DNS隧道编码方式 | Base64加密后用字母“A”填充 | UNICODE编码后再进行替换加密 |
持久化实现方式 | 劫持自启动的Windows服务所加载的DLL,进而实现持久化 | 创建计划任务或启动服务 |
DLL劫持/白利用技术 | 劫持Windows系统DLL,如搜索功能相关的msfte.dll | 劫持拥有合法签名的程序所加载的DLL |
1、 样本使用一个捆绑了恶意代码的adobe字体补丁文件adobe-font-pack.exe作为第一层Dropper。
(1) 第一层Dropper 首先在系统临时目录创建并运行该字体补丁文件以迷惑用户。
(2) 其实在adobe-font-pack.exe中包含了一个大的资源文件,其中加密保存了第二层Dropper文件。
(3) 样本开辟内存并写入shellcode。首先开辟5个字节大小的内存作为“跳板”,其中第1个字节的内容为0xE9,即跳转指令。接着开辟第二段内存,并写入真正的shellcode。最后通过计算,将开辟的两段内存之间的距离填入“跳板”中剩余的4个字节。至此,程序将通过“跳板”进入真正shellcode部分。
(4) Shellcode将对资源中的数据进行解密,并在内存中释放出一个DLL文件。该DLL文件即为第二层Dropper。
2、 第二层Dropper用于释放真正的木马文件,其中同样包含了一个大的资源文件,其中加密保存了3个文件,分别为rastlsc.exe、rastls.dll和OUTLFLTR.DAT。这3个文件将被创建在c:\Program Files\Symantec\Proxy\目录中,意在仿冒Symantec相关软件组件。
3、 建立计划任务,每隔1分钟运行rastlsc.exe,实现木马文件的持久化。
4、 将计算机名编码构造DNS请求包,并使用DNS隧道技术向C2服务器发送上线通知。
(1) 获取计算机名
(2) 将获取到的计算机名先转换为小写,然后进行编码。如机器名为“win7_mcafee-PC”,其UNICODE编码为:“770069006e0037005f006d00630061006600650065002d0070”,使用替代算法,对于十六进制的数字0xA-0xF,使用相应字符a-f进行替换;对于数字0-9,用g替换0,h替换1,依此类推。具体的明文与密文的对照如下:
明文 | 密文 | 明文 | 密文 |
a | a | b | b |
c | c | d | d |
e | e | f | f |
0 | g | 1 | h |
2 | i | 3 | j |
4 | k | 5 | l |
6 | m | 7 | n |
8 | 8 | 9 | 9 |
据此加密算法,计算机名为“win7_mcafee-PC”的主机生成的四级域名为:nnggmpggmeggjngglfggmdggmjggmhggmmggmlggmlggidggngggmjgg,再与其他固定字符串及C2域名进行拼接,最终生成的域名如下:
5、 在成功连接后,样本将建立后门,与C2服务器进行通讯,进而下载和加载其他木马,并实现相应的恶意功能。
通过微步在线的云沙箱和关联分析系统进行分析,我们发现APT32经常使用正常的云服务进行恶意软件的托管和分发。微步在线的情报系统显示,APT32曾使用OneDrive云服务托管和分发恶意软件,而近期则发现APT32主要使用Amazon S3云存储服务进行初期阶段的恶意软件分发。其中Denis相关变种主要托管在dload01.s3.amazonaws.com上,而Cobalt Strike Beacon后门等其他木马则主要托管在download-attachments.s3.amazonaws.com上。对这两个域名的活跃情况进行分析发现,虽然dload01.s3.amazonaws.com上的木马分发链接基本失效,但download-attachments.s3.amazonaws.com上的木马分发链接则大部分存活,说明APT32的攻击活动仍在持续。此外,微步在线情报系统显示,中国、柬埔寨、菲律宾、老挝、韩国等亚洲国家的政府、军事机构和大型企业,以及东盟组织和越南的媒体、人权和公民社会等相关的组织和个人遭到过APT32的定向攻击。
分析这些捕获的样本,发现这些样本从文件名、图标到运行时打开的界面都经过了精心的伪装,用以诱导和迷惑受害者。这些样本多伪装成FireFox浏览器、Adobe相关软件、字体相关工具,以及Word和Excel等文档。比如某些恶意软件伪装成FireFox浏览器的安装或更新包,其在运行时会显示FireFox的安装或更新界面,除了在后台执行恶意操作之外还会下载并安装FireFox;而伪装Word等文档的样本的文件名则包含超长的空格或使用后缀名欺骗,运行时还会打开诱饵文档,极具迷惑性。我们推测APT32在具体的钓鱼攻击和水坑攻击中使用了这类社工手法诱导目标下载和执行恶意软件,这也符合APT32一贯的攻击手法。
使用微步在线的追踪溯源系统对Denis变种的C2域名jeffreyue.com进行溯源分析,发现avidorber.com等14个APT32的其他域名资产,如下图: