前言
海蓮花(OceanLotus)APT團夥是一個高度組織化的、專業化的境外國家級黑客組織,其最早由360天眼實驗室發現并披露。該組織至少自2012年4月起便針對中國政府、科研院所、海事機構、海域建設、航運企業等相關重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。
近日,360威脅情報中心捕獲到了一個該團夥最新的攻擊樣本,分析顯示其使用了微軟Office相關漏洞進行惡意代碼投遞,在對樣本進行了詳細分析,并對相關的通信基礎設施進行關聯拓展後,我們發現了一批新的樣本和域名/IP,基于這些資訊,我們最終将提供一些360威脅情報中心視野内的資訊來構成更大的拼圖。
樣本分析
MD5:72bebba3542bd86dc68a36fda5dbae76
檔案名:Monthly Report 03.2018.doc
該樣本是一個RTF文檔,其使用Office CVE-2017-8570漏洞觸發執行VBS腳本,腳本進一步解密執行DLL檔案以及ShellCode,ShellCode最終會解密出木馬主要子產品并實作記憶體加載執行。
CVE-2017-8570
RTF文檔中内嵌了三個Package對象,分别對應VXO53WRTNO.000、fonts.vbs和3N79JI0QRZHGYFP.sct:
以及一個包含了CVE-2017-8570漏洞的OLE2Link對象,去混淆後如下:
其中Package對象中包含了檔案原始路徑資訊:C:\Users\HNHRMC\AppData\Local\Temp\VXO53WRTNO.000
漏洞觸發後啟動3N79JI0QRZHGYFP.sct,該腳本的作用是通過CMD.EXE執行fonts.vbs腳本:
fonts.vbs
fonts.vbs檔案實際上充當了Loader的功能,當fonts.vbs被執行時,首先會将Temp目錄下的VXO53WRTNO.000的内容讀取到記憶體中,然後通過Base64解碼後再通過AES解密得到ShellCode。最後将自身的寫死的Load_dll以同樣的方式解密出來,并動态加載Load_dll,并執行個體化其中的sHElla對象,最終通過調用sHElla.forebodinG(shellcode)方法将ShellCode執行起來:
Load_dll
Load_dll中的forebodinG方法的功能就是把接收到的ShellCode,拷貝到一個新配置設定的記憶體中,并将記憶體位址轉換成對應的委托進行調用執行:
ShellCode
ShellCode部分的功能是從自身中提取出一個PE檔案,再将該PE檔案加載到記憶體執行。該PE檔案的導出名為:{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll,下圖為修正後的PE頭資料:
Dump的DLL檔案的導出名資訊:
{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
解密出的DLL的資源中有一個加密的資源檔案:
該DLL運作時,首先擷取該資源檔案,進行RC4解密:
解密後的資源檔案中包含了木馬配置資訊和3個網絡通信相關的DLL檔案,網絡通信相關檔案用于支援HTTP、HTTPS和UDP協定通信。下圖為解密後的資源檔案資訊:
經過分析,配置檔案的相關資料結構如下:
緊接着該DLL會在記憶體中加載資源檔案中解密後的三個網絡相關的DLL,然後擷取本機資訊并經過編碼後與icmannaws.com、orinneamoure.com、ochefort.com這三個域名進行組合形成一個二級域名用于網絡通信,最終接受控制端指令實作如下遠控功能:
- 檔案管理
- 建立程序
- 運作shellcode
- 系統資料庫管理
- 設定環境變量
組合出的二級域名樣例:
nnggmpggmeggidggnjggnjggjnggmfggmfggnhggjpggmfggmmggmhggmfgg.ijmlajok.icmannaws.com
樣本發送的DNS通信請求:
上線域名生成算法
樣本的上線域名字元串由兩部分組成,一部分由電腦主機名生成,一部分為4位元組的樣本版本ID:0x2365a384。域名生成算法首先将計算機名(Unicode編碼)轉換為小寫字母,然後再把該段記憶體的小寫字母轉換為HEX字元串,接着判斷該HEX字元串的每一個位元組,如果在0x2f和0x3a之間,就将該位元組減去0x30後做為編碼表(ghijklmnop)的索引值,再通過索引值在編碼表中取得最終該位元組對應的編碼,如不在0x2f和0x3a之間,則不進行處理。
使用Python還原其生成算法如下:
生成測試機器的上線域名:
拓展
基于上述樣本分析得到的3個C2位址,我們确認這是一起來源于海蓮花APT團夥的攻擊,利用360威脅情報中心的資料平台我們對相關資訊做進一步的拓展,挖掘出了更多的情報資訊。(所有拓展的相關資訊見IOC一節)
使用360威脅情報平台拓展攻擊線索
在360威脅情報分析平台中搜尋其中一個C&C位址:icmannaws.com,我們得到如下輸出頁面:
左上角的資訊顯示該域名已經被360威脅情報中心打上了海蓮花的标簽,而左下角則顯示了與該域名相關的安全報告,點進去可以看到這是防毒軟體公司ESET在今年3月份針對海蓮花新樣本的分析報告,其中就包含了本次樣本中3個C2域名中的2個。
我們随便使用ESET分享的某個IP位址:164.132.45.67再一次進行搜尋,可以搜尋到大量和海蓮花相關的域名,有部分域名在各種威脅情報平台上還查不到相關标簽資訊,而它們都曾解析到IP 164.132.45.67:
如此,我們就從一個樣本中的域名出發,通過威脅情報平台關聯的威脅資訊,最終挖掘到一些以前我們所未知的樣本或C&C基礎設施。
IOC
| C&C |
| icmannaws.com |
| ochefort.com |
| orinneamoure.com |
| 164.132.45.67:46405 |
| alyerrac.com |
| arkolau.com |
| avidorber.com |
| eabend.com |
| eoneorbin.com |
| houseoasa.com |
| maerferd.com |
| oftonlos.com |
| ollyirth.com |
| rtrand.com |
| vieoulden.com |
| addrolven.com |
| adisonas.com |
| airthorne.com |
| ajeunes.com |
| alabrese.com |
| ameronda.com |
| ansomesa.com |
| aressers.com |
| arhcharad.com |
| atharin.com |
| atriciasert.com |
| bernadethilipp.com |
| caitlisserand.com |
| colettrombly.com |
| cosetarber.com |
| denones.com |
| deraller.com |
| dericalb.com |
| earlase.com |
| eoilson.com |
| ernieras.com |
| forteauld.com |
| harlierase.com |
| harlottedf.com |
| hustertea.com |
| imberly.com |
| indianmpkinson.com |
| intyretre.com |
| itchelloth.com |
| jereisenberg.com |
| karernier.com |
| lausarieur.com |
| lexishaves.com |
| licailliam.com |
| licaolf.com |
| lijahrey.com |
| llarduchar.com |
| lleneuve.com |
| lteraycock.com |
| lyolbert.com |
| martindicken.com |
| mesacha.com |
| mesarigna.com |
| namshionline.com |
| naudeafre.com |
| normolen.com |
| nteagleori.com |
| obillard.com |
| oderic.com |
| odyluet.com |
| oftsoa.com |
| oltzmann.com |
| onnoriegler.com |
| osephes.com |
| othschild.com |
| ouxacob.com |
| peverereal.com |
| phieuckson.com |
| rcheterre.com |
| riceinton.com |
| rieuenc.com |
| righteneug.com |
| rigitteais.com |
| rookersa.com |
| rosveno.com |
| ryeisasw.com |
| saachumpert.com |
| shuareu.com |
| stellefaff.com |
| stianois.com |
| svenayten.com |
| teffenick.com |
| ucharme.com |
| ucinda.com |
| ugdale.com |
| vaupry.com |
| 樣本MD5 |
| 6ecb19b51d50af36179c870f3504c623(Report 06-03-2018.exe) |
| 109cd896f8e13f925584dbbad400b338(02 Meeting Report for Mar-2018 Cambodia.xls.exe) |
| 72bebba3542bd86dc68a36fda5dbae76(Monthly Report 03.2018.doc) |
| a08b9a984b28e520cbde839d83db2d14(AcroRd32.exe) |
| 877ecaa43243f6b57745f72278965467(WinWord.exe) |
| 87d108b2763ce08d3f611f7d240597ec(GoogleUpdateSetup.exe) |
| 5f69999d8f1fa69b57b6e14ab4730edd(Invitation for CTTIC khmer.docx.exe) |
結論
從2015年以來,360威脅情報中心截獲并分析了多個海蓮花團夥的新樣本及對應的通信基礎設施,相關的資訊在威脅情報中心的資料平台上可以看到(https://ti.360.net/),注冊使用者如果查詢到相關的IOC元素則可以立即看到平台輸出的标簽資訊,有助于安全分析人員及時發現和關聯APT攻擊中有價值的情報資訊。
參考
[1] https://ti.360.net/
[2] https://ti.360.net/advisory/articles/advisory-of-oceanlotus/
[3] https://www.welivesecurity.com/wp-content/uploads/2018/03/ESET_OceanLotus.pdf