疑似“海莲花”组织早期针对国内高校的攻击活动分析

背景

360要挟情报中间近期发清楚明了“海莲花”组织应用的新的CVE-2017-11882破绽文档,经由过程对该破绽文档及相关进击活动的阐发,我们关联到该组织近期针对南亚国家的进击活动。并且发清楚明了疑似“海莲花”组织在2017年5月初针对海内实施的一次集中式的进击活动,结合内部的要挟情报数据,我们觉得这是该组织使用“永恒之蓝”破绽实施的一轮重点针对海内高校的进击活动。

本申报将具体阐发“海莲花”组织新的进击活动中使用的进击技巧细节,并表露其在2017年5月实施的进击行动详情,以及此中的关联性。

CVE-2017-11882破绽文档

360要挟情报中间近期发清楚明了一个“海莲花”组织应用的CVE-2017-11882破绽文档(MD5:b123f9151c5e7057f061f3e03c1e8416)。

查看破绽文档内容可以发明,此中应用\objemb指定工具为嵌入式ole工具,并应用\objupdate,强制工具更新,接下来\objdata后面随着一个Equation3.0工具,并做了大年夜量的肴杂,用于抗衡杀软引擎识别。将Equation3.0 工具dump出来后,发明栈溢出后返回地址为0×00402114 。

其会跳转到shellcode,shellcode会暴力搜索文件句柄然后经由过程CreateFileMapping\MapViewOfFile创建文件映射,然后判断文件头偏移0x3F2C处的一个dword值是否为0×79797979来判断是不是之前的rtf文件,假如是则先获取rtf文件的路径,然后拷贝为temp目录下的ole.dll,接着从文件尾读取的0xC个字节,即”AA BB CC DD 47 A1 1F 00 79 79 79 79″。再次判断成功后,设置文件指针偏移并读取0x1FA147个字节的shellcode,启动一个新线程履行这段shellcode。

这段新的shellcode将遍历system32目录下的文件,反省有没有vmGuestLibJava.dll以检测虚拟机,假如有则在%appdata%目录下创建一个名为VMwareGuest API Java Support的目录,开释一系列文件;否则在Program Files下创建名为NLS_000001的目录并开释文件。

此中开释的文件列表如下:

开释文件名

阐明

vmGuestLibJava.exe

Intel(R) Local Management Service 带白署名文件

ACE.dll

加载vmGuestLibJava.db3的shellcode

Common.dll

加载vmGuestLibJava.db3的shellcode

GmsCommon.dll

加载vmGuestLibJava.db3的shellcode

MSVCP100.dll

加载vmGuestLibJava.db3的shellcode

MSVCR100.dll

加载vmGuestLibJava.db3的shellcode

WsmanClient.dll

加载vmGuestLibJava.db3的shellcode

vmGuestLibJava.db3

Shellcode

接着创建计划义务以启动vmGuestLibJava.exe,这是一个Intel的署名白文件,导入表中包孕了上面列出的ACE.dll、Common.dll等等,这些开释的dll文件实际功能一样,其在导出函数中会读取vmGuestLibJava.db3的shellcode并履行:

此中加载shellcode的部分如下所示。

这段Shellcode再次解密出一个PE并映射到内存中,dump出来后发明是{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll,这个dll为“海莲花”组织应用,并在360要挟情报中间多份“海莲花”申报中都有说起,其连接域名如下。

nnggmpggmeggidggjjggmhggmpggjhggmkggmpggnhggmpggjnggmeggmegg.ijmlajip.straliaenollma.xyz

nnggmpggmeggidggjjggmhggmpggjhggmkggmpggnhggmpggjnggmeggmegg.ijmlajip.ourkekwiciver.com

nnggmpggmeggidggjjggmhggmpggjhggmkggmpggnhggmpggjnggmeggmegg.ijmlajip.dieordaunt.com

结合360要挟情报平台,此中ourkekwiciver.com的子域名于2018年6月5日创建,并映射IP记录154.16.138.89,该IP已经打上“海莲花”组织的标签。

下图为相关域名的近期造访环境,可以看到仍旧生动。

“海莲花”组织近期针对柬埔寨的进击活动

经由过程破绽文档中应用的相枢纽关头制域名信息,并结合360要挟情报数据,我们发明这是“海莲花”组织近期针对柬埔寨职员的APT进击活动。

我们对该次进击活动中应用的一些进击载荷和代码的阐发如下。

PowerShell载荷

“海莲花”组织将部分PowerShell进击代码冒充成图片文件,并托管在远程办事器地址,例如https://olosirsch.com/cars.png,https://olosirsch.com/search.gif。

[1] [2] [3] [4]下一页

其下载后内容为一段PowerShell代码,其会分配一段内存空间,将必要履行的shellcode代码拷贝到内存中,并创建线程履行。

此中shellcode被base64编码,解码后可以发今世码的花指令与之前“海莲花”组织应用的shellcode如出一辙。

此中shellcode首先经由过程PEB获取kernel32的地址和LoadLibrary,GetProcAddress两个函数的地址,然后应用GetProcAddress获取VirtualAlloc等函数。接着在内存按PE款式依次从PE头、节表、节的顺序复制并解密一个PE文件,然后处置惩罚其导入表, 重定位表并调用DllMain。

经由过程查看该DLL的导出表, 可以看到该DLL名叫{79828CC5-8979-43C0-9299-8E155B397281}.dll,且只有一个导出函数名为DllEntry。此dll文件命名和代码与“海莲花”历史应用的dll文件类似。

导出函数DllEntry实际会在内存解密两个PE文件。此中一个PE布局很多字段填0, 没有导出表,而另一个经由过程查看导出表发明Dll名为http.dll。

其会从资本中获取一系列节制域名:

dyndns.angusie.com

time.ouisers.com

news.denekasd.com

ipv6.uyllain.com

接着创建多个线程, 并向节制域名提议POST哀求发送数据。

白使用技巧

PowerShell载荷应用了McAfee mcods.exe文件的白使用技巧加载恶意的mcvsocfg.dll文件,并且终极造访了远程节制IP的特定端口。

横向移动载荷

我们还发明“海莲花”组织在横向移动历程中会在内网的目标机械上应用MsBuild.exe编译天生用于下载、履行PowerShell代码的Loader法度榜样,可以履行本地指定的PowerShell脚本,也可以下载履行指定URL的PowerShell代码。

进击历程

结合进击活动中应用的载荷文件等信息,我们推想该APT进击活动的进击历程如下。

进击阶段

应用技巧

进击进口

使用鱼叉邮件送达破绽文档,如CVE-2017-11882破绽文档

初始节制

远程下载冒充成图片的PowerShell脚本载荷 使用McAfee的白使用技巧履行核心dll载荷

横向移动

主要使用系统敕令实现横向移动:应用nbt.exe进行扫描net.exe实现IPC用户添加MsBuild.exe在内网机械上编译天生恶意dll模块并履行

受害目标

我们发明“海莲花”的这次进击活动中,从2018年3月针对柬埔寨的某机构收集实施了进击渗透,并经由过程履行PowerShell载荷哀求获取远程URL链接。

http://isp.cambodiadaily.org/dot.gif

http://myaccount.philtimes.org/IE9CompatViewList.xml

这两个域名看起来像是仿冒philtimes.com和cambodiadaily.com这两个域名,于2017年4月28日同一天注册的。

根据对海莲花渗透柬埔寨某机构历程的阐发,我们发明泉源之一在该机构一个出口IP上,这个IP的80端口指向了一个路由器登录界面:

2017年3月7日,维基解密表露了CIA Vault7项目,此中包孕的Chimay Red对象能够进击RouterOS,并上传履行进击载荷;

2017年12月,安然钻研职员公开表露了Chimay Red的进击使用法度榜样[2];

2018年3月,柬埔寨某出口IP下被海莲花组织进击,其IP下路由器为MikroTik型号;

2018年4月23日,Mikrotik修补了相关破绽,相关破绽ID为CVE-2018-14847,并影响RouterOS 6.42以下的系统版本,能够进行绕过认证明现随意率性目录读取。

我们结合事故的光阴线和相关线索推想存在“海莲花”组织使用了路由器的破绽进击进入目标收集的可能。

“海莲花”组织使用“永恒之蓝”(EternalBlue)的进击行动

上一页[1] [2] [3] [4]下一页

我们结合上述进击事故中“海莲花”应用的进击使用技巧(如应用 McAfee mcods.exe文件的白使用技巧),节制通信特性以及应用的节制根基举措措施的重叠,发明疑似该组织在2017年5月初对我国境内实施了一次集中的进击行动,其主要的进击目标为境内的大年夜学高校。结合相关线索,我们觉得是“海莲花”组织使用永恒之蓝破绽的一次考试测验进击。

进击代码

lavaudio.exe

该恶意法度榜样经由过程办事的形式启动,办事名为Netmans,运行之后会履行文件c:\program+files\intel\opencl\bin\x86\clang_compiler32.exe

clang_compiler32.exe

该恶意文件是一个远控木马,其会解密出4个C2地址,然后连接该C2的IP地址,然后实现远控的功能。

解密算法是和0×39相加解密:

和0×27相加解密出C2信息:

解密出的4个C2地址为:

cloud.sicaogler.com

news.coleope.com

fox.ailloux.com

cnn.befmann.com

解析后连接IP的61781端口。

远控的消息分发模块如下:

以下为远控的创建文件操作:

截至我们阐发时,该样本文件在VT上依然具有对照好的免杀效果。

经由过程搜索发明也有国外职员感染该木马法度榜样,并且hash都一样(http://processchecker.com/file/clang_compiler32.exe.html)。

比较本次事故中木马连接的收集数据款式和针对柬埔寨进击事故中的木马衔吸收集数据款式同等,并且应用了相同的远程端口号。可见两个事故中应用的木马节制通信协议具有同源性。

经由过程阐发数据包款式,协议类似gh0st RAT 的款式:

99 01 00 00 //压缩前的数据包长度

a6 00 00 00 //压缩后长度

78 9c 63 62 20 00 8c 0c //内容

0c 4d 0d 8c 8d 8c 75 0d 0d 8d 8d 19 18 1c 53 72

33 f3 32 8b 4b 8a 12 4b f2 8b a0 4a 58 19 99 19

18 81 f4 24 f7 99 6e 2e 0e 57 18 41 6c 47 06 5f

06 17 06 05 86 00 06 67 06 3f 06 57 86 10 20 db

8d 21 91 21 97 21 93 21 87 a1 12 2a e3 09 a4 5d

19 4a 18 32 18 52 19 8a 18 f2 80 64 09 50 c4 91

21 05 a8 b2 00 c8 06 89 2a 30 e8 02 71 41 6a 5e

32 6b f0 c2 6e a1 20 ee aa fe b8 75 f1 dd e1 ef

ab 1e 07 e3 71 37 8f e6 89 3a 3e 06 86 03 2b f4

1b d0 a5 18 09 f9 79 30 00 00 23 75 24 cb

解密措施是用zlib解密,如图:

关联阐发

对该事故中进击应用的节制域名进行阐发,我们发明域名注册于2017年4月27和28日两天,而针对柬埔寨进击事故中的仿冒域名同样注册于2017年4月28日:

上一页[1] [2] [3] [4]下一页

对相关事故的光阴线进行梳理如下:

并且我们对该事故相关受害者在事故发生光阴范围的感染数量趋势图如下,此中大年夜部分感染用户属于海内多个高校的收集,并且此中一个感染用户为海内某大年夜型能源企业驻乌干达的机构所属。

在感染量上从 WannaCry 事故周全爆发之后的首个事情日开始呈下降和竣事趋势。

更多阐发揣摸

360要挟情报中间经由过程关联的线索发明,2017年5月上旬的进击活动应该是海莲花所为,他们应用已知的NDAY破绽永恒之蓝破绽考试测验进击了海内的目标,并重点针对海内的高校收集,并随落后行横向渗透。

我们也同时发明在该次进击行动中,“海莲花”组织并未应用其惯用的进击恶意代码和对象,结合全部事故相关的光阴线,我们作出如下合理的推想:

MS17-010 的进击使用代码公开之后,“海莲花”组织使用公开的使用代码对目标实施进击考试测验,并且为了避免进击活动被追溯,其选择改动开源RAT代码作为送达的进击载荷,其首选了具有较强稳定性且开源的gh0st RAT 作为其节制通信要领,并且做了精简和改造今后达到更好的免杀效果;

因为“海莲花”组织在开始实施相关进击活动的数日之后,在海内爆发了WannaCry事故,导致大年夜量受害主机进行清除和还原,必然程度影响了该组织的进击实施和效果,导致在此事故后相关的感染目标数量急剧削减。

在阐发历程中我们也发清楚明了两次进击活动之间存在某些联系,包括:

应用了类似的进击节制通信协议

节制根基举措措施在同一光阴注册

应用了同样的白使用技巧

推想都使用了公开的破绽使用对象帮助达到进击渗透的目的等等。

结合内部更多线索的重合,我们觉得该次事故的进击滥觞疑似“海莲花”组织。

总结

结合对以前“海莲花”组织的进击跟踪,我们觉得该组织不停在赓续更新和蜕变其进击的战术技巧特征,并擅擅长使用开源或公开的进击对象和代码用于自身的进击活动中。

在本申报中,360要挟情报中间再次发明该组织近期的进击活动,并根据相关线索掘客到其历史的一次集中式的进击行动。我们结合多方面的情报线索,梳理并考试测验还原其进击应用的主要伎俩和技巧特征,并给出了一些合理的推想不雅点。

从这两次进击活动中可以看出,收集武器库的泄露不仅加剧了收集防御下的严酷现状,而 APT 组织基于泄露的收集武器代码每每能够达到事半功倍的进击效果。

今朝,基于360要挟情报中间的要挟情报数据的全线产品,包括360要挟情报平台(TIP)、天眼高档要挟检测系统、360 NGSOC等,都已经支持对此APT进击团伙进击活动的检测。

IOC信息

dieordaunt.com

ourkekwiciver.com

straliaenollma.xyz

dyndns.angusie.com

time.ouisers.com

news.denekasd.com

ipv6.uyllain.com

hotel.bookingshop.info

school.obertamy.com

news.exandre.com

cloud.reneark.com

cctv.avidsonec.com

cloud.sicaogler.com

cnn.befmann.com

news.coleope.com

fox.ailloux.com

myaccount.philtimes.org

isp.cambodiadaily.org

cert.opennetworklab.com

ns1.cambodiadaily.org

hotel.bookingshop.info

login.ticketwitheasy.com

http://hotel.bookingshop.info/__utm.gif

http://login.ticketwitheasy.com/dpixel

https://olosirsch.com/droper

https://olosirsch.com/flush.gif

http://myaccount.philtimes.org/IE9CompatViewList.xml

http://isp.cambodiadaily.org/dot.gif

http://cert.opennetworklab.com/verify/certificates/logo.png

5bcf16810c7ef5bce3023d0bbefb4391

a532040810d0e34a28f20347807eb89f

0aed0d7deb43ea3a84b7ef94feec0801

参考

1.https://wikileaks.org/ciav7p1/cms/page_16384604.html

2.https://github.com/wsxarcher/Chimay-Red

3.http://blog.netlab.360.com/7500-mikrotik-routers-are-forwarding-owners-traffic-to-the-attackers-how-is-yours/

上一页[1] [2] [3] [4]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包