Sa phost seo inseoimid duit conas a d’úsáid an cibearghrúpa OceanLotus (APT32 agus APT-C-00) le déanaí ceann de na shaothrú atá ar fáil go poiblí le haghaidh , leochaileachtaí éillithe cuimhne i Microsoft Office, agus an chaoi a n-éiríonn le malware an ghrúpa marthanacht ar chórais chontúirt gan rian a fhágáil. Ansin, déanfaimid cur síos ar conas, ó thús 2019, tá an grúpa ag baint úsáide as cartlanna féin-eastósctha chun cód a rith.
Déanann OceanLotus speisialtóireacht i gcibearspiaireacht, agus is iad na spriocanna tosaíochta ná tíortha in Oirdheisceart na hÁise. Cruthaíonn ionsaitheoirí doiciméid a tharraingíonn aird na n-íospartach ionchasach chun a chur ina luí orthu an backdoor a fhorghníomhú, agus tá siad ag obair freisin ar uirlisí a fhorbairt. Athraíonn na modhanna a úsáidtear chun potaí meala a chruthú thar ionsaithe, ó chomhaid “sínte dúbailte”, cartlanna féin-eastósctha, doiciméid le macraí, go húiseanna aitheanta.
Ag baint úsáide as leas a bhaint as i Microsoft Eagarthóir Cothromóid
I lár 2018, rinne OceanLotus feachtas ag baint leasa as leochaileacht CVE-2017-11882. Rinne speisialtóirí ó Ionad Faisnéise 360 Threat Intelligence (), lena n-áirítear cur síos mionsonraithe ar an saothrú. Tá forbhreathnú ar dhoiciméad mailíseach den sórt sin sa phostáil thíos.
An chéad chéim
An doiciméad FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) atá cosúil leis an gceann atá luaite sa staidéar thuas. Tá sé suimiúil toisc go bhfuil sé dírithe ar úsáideoirí a bhfuil suim acu i bpolaitíocht Chambóid (CNRP - Páirtí Tarrthála Náisiúnta Chambóid, a díscaoileadh ag deireadh 2017). In ainneoin an síneadh .doc, tá an doiciméad i bhformáid RTF (féach an pictiúr thíos), tá cód truflais ann, agus tá sé saobhadh freisin.
Fíor 1. "Tramhaíl" i RTF
Cé go bhfuil gnéithe garbled ann, osclaíonn Word an comhad RTF seo go rathúil. Mar a fheiceann tú i bhFíor 2, tá struchtúr EQNOLEFILEHDR ag fritháireamh 0xC00, agus ceanntásc MTEF ina dhiaidh sin, agus ansin iontráil MTEF (Fíor 3) don chló.
Fíor 2. Luachanna iontrála FONT
Figiúr 3.
Cur thar maoil féideartha sa réimse ainm, toisc nach ndéantar a mhéid a sheiceáil sula ndéantar é a chóipeáil. Spreagann ainm atá rófhada leochaileacht. Mar a fheiceann tú ó ábhar an chomhaid RTF (fritháireamh 0xC26 i bhFíor 2), líontar an maolán le sligechód agus ordú caocha ina dhiaidh (0x90) agus seoladh fillte 0x402114. Is gné dialóige é an seoladh i EQNEDT32.exe, ag léiriú treoracha RET. Fágann sé sin go gcuireann EIP tús leis an bpáirc ainmina bhfuil an shellcode.
Fíor 4. Tús an tsliogchód saothraithe
Seoladh 0x45BD3C stórálann sé athróg atá díreagartha go dtí go sroicheann sé pointeoir don struchtúr atá lódáilte faoi láthair MTEFData. Tá an chuid eile den bhlaoscchód anseo.
Is é cuspóir an bhlaoscchód an dara píosa sligechód atá leabaithe sa doiciméad oscailte a fhorghníomhú. Déanann an bunchód iarracht ar dtús chun tuairisceoir comhaid an doiciméid oscailte a aimsiú trí atriall a dhéanamh thar gach tuairisceoir córais (NtQuerySystemInformation le hargóint SystemExtendedHandleInformation) agus seiceáil an bhfuil siad comhoiriúnach PID tuairisceoir agus PID phróiseas WinWord agus cibé ar osclaíodh an doiciméad le masc rochtana - 0x12019F.
Chun a dheimhniú go bhfuarthas an hanla ceart (seachas hanla doiciméad oscailte eile), taispeántar inneachar an chomhaid leis an bhfeidhm CreateFileMapping, agus seiceálann an blaoscchód an bhfuil na ceithre bheart deiridh den doiciméad ag teacht le "yyyy“(modh Fiach Uibheacha). Nuair a aimsítear meaitseáil, déantar an doiciméad a chóipeáil chuig fillteán sealadach (GetTempPath) Conas ole.dll. Ansin léitear na 12 beart deiridh den doiciméad.
Fíor 5. Marcóirí deireadh doiciméad
Luach 32-giotán idir marcóirí AABBCCDD и yyyy Is é fritháireamh an chéad shliogóid eile. Tá sé ar a dtugtar ag baint úsáide as an fheidhm CreateThread. Bhain sé an blaoscchód céanna a d'úsáid an grúpa OceanLotus níos luaithe. , a d'eisigh muid i mí an Mhárta 2018, fós ag obair don dumpáil dara céim.
An dara céim
Comhpháirteanna a Bhaint
Roghnaítear ainmneacha comhaid agus eolaire go dinimiciúil. Roghnaíonn an cód go randamach ainm an chomhaid inrite nó DLL i C:Windowssystem32. Déanann sé iarratas ansin ar a chuid acmhainní agus aisghabhann sé an réimse FileDescription a úsáid mar ainm an fhillteáin. Mura n-oibríonn sé seo, roghnaíonn an cód ainm fillteáin go randamach ó na heolairí %ProgramFiles% nó C:Windows (из GetWindowsDirectoryW). Он избегает использования имени, которое может конфликтовать с существующими файлами, и следит за тем, чтобы оно не содержало следующие слова: windows, Microsoft, desktop, system, system32 nó syswow64. Má tá an t-eolaire ann cheana féin, cuirtear "NLS_{6 characters}" leis an ainm.
acmhainn 0x102 Déantar anailís agus dumpáiltear comhaid isteach %ProgramFiles% nó %AppData%, chuig fillteán roghnaithe go randamach. Am cruthaithe athraithe chun na luachanna céanna a bheith aige kernel32.dll.
Mar shampla, anseo tá an fillteán agus liosta na gcomhad cruthaithe ag roghnú an inrite C:Windowssystem32TCPSVCS.exe mar fhoinse sonraí.
Fíor 6. Comhpháirteanna éagsúla a bhaint
Struchtúr acmhainní 0x102 i dropper casta go leor. Go hachomair, cuimsíonn sé:
— Ainmneacha comhaid
— Méid comhaid agus ábhar
— Formáid chomhbhrú (COMPRESSION_FORMAT_LZNT1, a úsáideann an fheidhm RtlDecompressBuffer)
Athshocraítear an chéad chomhad mar TCPSVCS.exe, atá dlisteanach AcroTranscoder.exe (de réir FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
Seans gur thug tú faoi deara go bhfuil roinnt comhad dll níos mó ná 11 MB. Tá sé seo amhlaidh toisc go gcuirtear maolán mór sonraí randamacha taobh istigh den chomhad inrite. Is féidir gur bealach é seo chun braite roinnt táirgí slándála a sheachaint.
Marthanacht a chinntiú
acmhainn 0x101 sa dropper tá dhá shlánuimhir 32-giotán a shonraíonn conas marthanachta a chur ar fáil. Sonraíonn luach an chéad uair conas a leanfaidh an malware gan cearta riarthóra.
Tábla 1. Sásra marthanachta gan cearta riarthóra
Sonraíonn luach an dara slánuimhir conas ba cheart don malware marthanacht a bhaint amach agus iad ag rith le cearta riarthóra.
Tábla 2. Sásra marthanachta le cearta riarthóra
Is é an t-ainm seirbhíse an t-ainm comhaid gan síneadh; is é an t-ainm taispeána ná ainm an fhillteáin, ach má tá sé ann cheana féin, cuirtear an teaghrán “ i gceangal leisRevision 1” (méadaíonn an uimhir go dtí go bhfaightear ainm nár úsáideadh). Chinntigh na hoibreoirí go raibh dianseasmhacht tríd an tseirbhís láidir - i gcás teipe, ba cheart an tseirbhís a atosú tar éis 1 soicind. Ansin an luach WOW64 Tá eochair chláraithe na seirbhíse nua socraithe ag 4, rud a thugann le fios gur seirbhís 32-giotán é.
Cruthaítear tasc sceidealaithe trí roinnt comhéadain COM: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. Go bunúsach, cruthaíonn an malware tasc i bhfolach, socraíonn sé an fhaisnéis chuntais mar aon leis an úsáideoir reatha nó faisnéis riarthóir, agus ansin socraíonn an truicear.
Is tasc laethúil é seo le fad 24 uair an chloig agus eatraimh idir dhá fhorghníomhú 10 nóiméad, rud a chiallaíonn go mbeidh sé ar siúl go leanúnach.
Giotán mailíseach
In ár sampla, an comhad inrite TCPSVCS.exe (AcroTranscoder.exe) is bogearraí dlisteanacha é a lódálann DLLanna a athshocraítear in éineacht leis. Sa chás seo, is díol spéise é Flash Video Extension.dll.
A fheidhm DLLMain ach glaonna feidhm eile. Tá roinnt réamhaisnéisí doiléir i láthair:
Fíor 7. Tuar doiléir
Tar éis na seiceálacha míthreoracha seo, faigheann an cód alt .text comhad TCPSVCS.exe, athraíonn a chosaint go PAGE_EXECUTE_READWRITE agus athscríobhann sé é trí threoracha caocha a chur leis:
Fíor 8. Seicheamh na dtreoracha
Ag deireadh an seoladh feidhm FLVCore::Uninitialize(void), easpórtáilte Flash Video Extension.dll, cuirtear treoir leis CALL. Ciallaíonn sé seo gur tar éis an dll mailíseach luchtaithe, nuair a ghlaonn an t-am rite WinMain в TCPSVCS.exe, cuirfidh an pointeoir treorach in iúl go NOP, ag cruthú FLVCore::Uninitialize(void), an chéad chéim eile.
Cruthaíonn an fheidhm mutex ag tosú le {181C8480-A975-411C-AB0A-630DB8B0A221}agus an t-ainm úsáideora reatha ina dhiaidh. Léann sé ansin an comhad dumpáilte *.db3, ina bhfuil cód seasamh-neamhspleách, agus úsáidí CreateThread a fhorghníomhú an t-ábhar.
Is é atá sa chomhad *.db3 ná an blaoscchód a úsáideann an grúpa OceanLotus de ghnáth. D’éirigh linn a phálasta a dhíphacáil arís trí úsáid a bhaint as an script aithriseoir a d’fhoilsíomar .
Sliocht an script an chéim deiridh. Is backdoor é an chomhpháirt seo, a bhfuil anailís déanta againn cheana féin . Is féidir é seo a chinneadh ag an GUID {A96B020F-0000-466F-A96D-A91BBF8EAC96} comhad dénártha. Tá an chumraíocht malware fós criptithe san acmhainn PE. Tá thart ar an gcumraíocht chéanna aige, ach tá na freastalaithe C&C difriúil leis na cinn roimhe seo:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
Léiríonn foireann OceanLotus arís meascán de theicnící éagsúla chun braite a sheachaint. D'fhill siad le léaráid “scagtha” den phróiseas ionfhabhtaithe. Trí ainmneacha randamacha a roghnú agus earraí inrite a líonadh le sonraí randamacha, laghdaíonn siad líon na n-IoCanna iontaofa (bunaithe ar hashes agus ainmneacha comhaid). Thairis sin, a bhuíochas le húsáid luchtú DLL tríú páirtí, ní gá d'ionsaitheoirí ach an dénártha dlisteanach a bhaint AcroTranscoder.
Cartlanna féin-eastósctha
Tar éis comhaid RTF, bhog an grúpa chuig cartlanna féin-astarraingthe (SFX) le deilbhíní doiciméad coitianta chun an t-úsáideoir a chur amú tuilleadh. Scríobh Bagairtleabhar faoi seo (). Nuair a sheoltar iad, scaoiltear comhaid RAR fhéin-astarraingthe agus rithtear DLLanna le síneadh .ocx, a bhfuil an pálasta deiridh doiciméadaithe cheana {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. Ó lár mhí Eanáir 2019, tá OceanLotus ag athúsáid an teicníc seo, ach ag athrú roinnt cumraíochtaí le himeacht ama. Sa chuid seo beidh muid ag caint faoi an teicníc agus athruithe.
Lure a Chruthú
An doiciméad THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) a fuarthas den chéad uair in 2018. Cruthaíodh an comhad SFX seo go ciallmhar - sa chur síos (Eolas Leagan) deir sé gur íomhá JPEG é seo. Breathnaíonn an script SFX mar seo:
Fíor 9. Orduithe SFX
Athshocraíonn an malware {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), chomh maith le pictiúr 2018 thich thong lac.jpg.
Breathnaíonn an íomhá decoy mar seo:
Fíor 10. Íomhá decoy
B'fhéidir gur thug tú faoi deara go dtugann an chéad dá líne sa script SFX an comhad OCX faoi dhó, ach ní earráid é seo.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
Tá sreabhadh rialaithe comhad OCX an-chosúil le comhpháirteanna eile OceanLotus - go leor seicheamh orduithe JZ/JNZ и PUSH/RET, alternating le cód truflais.
Fíor 11. Cód fuascailte
Tar éis an cód junk a scagadh amach, easpórtáil DllRegisterServer, ar a dtugtar regsvr32.exe, mar seo a leanas:
Fíor 12. Cód suiteálaí bunúsach
Go bunúsach, ar an gcéad ghlao DllRegisterServer socraíonn onnmhairiú luach clárlainne HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model le haghaidh fritháireamh criptithe i DLL (0x10001DE0).
Nuair a thugtar an dara huair ar an bhfeidhm, léann sé an luach céanna agus feidhmíonn sé ag an seoladh sin. Ón áit seo déantar an acmhainn agus go leor gníomhartha in RAM a léamh agus a chur i gcrích.
Is é an shellcode an lódóir Corpoideachais céanna a úsáideadh i bhfeachtais OceanLotus san am atá caite. Is féidir é a aithris trí úsáid a bhaint as . Sa deireadh resets sé db293b825dcc419ba7dc2c49fa2757ee.dll, lódálann sé isteach i gcuimhne agus ritheann sé DllEntry.
Baineann an DLL inneachar a acmhainne, díchriptíonn sé (AES-256-CBC) agus dí-chomhbhrú (LZMA) é. Tá formáid ar leith ag an acmhainn atá éasca le dí-bhailiú.
Fíor 13. Struchtúr cumraíochta suiteálaí (KaitaiStruct Visualizer)
Sonraítear an chumraíocht go sainráite - ag brath ar an leibhéal pribhléide, scríobhfar chuig sonraí dénártha %appdata%IntellogsBackgroundUploadTask.cpl nó %windir%System32BackgroundUploadTask.cpl (Nó SysWOW64 le haghaidh córais 64-giotán).
Cinntítear tuilleadh marthanachta trí thasc a chruthú leis an ainm BackgroundUploadTask[junk].jobI gcás ina [junk] is ionann é agus tacar beart 0x9D и 0xA0.
Ainm Feidhmchlár Tasc %windir%System32control.exe, agus is é an luach paraiméadar an cosán chuig an gcomhad dénártha íoslódála. Ritheann an tasc i bhfolach gach lá.
Go struchtúrach, is éard atá i gcomhad CPL ná DLL a bhfuil ainm inmheánach air ac8e06de0a6c4483af9837d96504127e.dll, a onnmhairíonn feidhm CPlApplet. Déanann an comhad seo a acmhainn amháin a dhíchriptiú {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, lódálann sé an DLL seo ansin agus glaonna ar a onnmhairiú amháin DllEntry.
Comhad cumraíochta backdoor
Tá an chumraíocht backdoor criptithe agus leabaithe ina acmhainní. Tá struchtúr an chomhaid chumraíochta an-chosúil leis an gceann roimhe seo.
Fíor 14. Struchtúr cumraíochta backdoor (KaitaiStruct Visualizer)
Cé go bhfuil an struchtúr cosúil, nuashonraíodh go leor de na luachanna réimse uathu siúd a léirítear i .
Sa chéad eilimint den eagar dénártha tá DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), . Ach ós rud é gur baineadh an t-ainm onnmhairithe as an dénártha, ní hionann na hashes.
Taighde Breise
Le linn samplaí a bhailiú, thugamar faoi deara roinnt tréithe. Tháinig an t-eiseamal a bhfuil cur síos air díreach thart ar mhí Iúil 2018, agus bhí an chuma ar dhaoine eile cosúil leis chomh déanach le lár mhí Eanáir go dtí tús mhí Feabhra 2019. Baineadh úsáid as cartlann SFX mar veicteoir ionfhabhtuithe, ag scaoileadh doiciméad maolaithe dlisteanach agus comhad OSX mailíseach.
Cé go n-úsáideann OceanLotus stampaí ama bréige, thugamar faoi deara go mbíonn stampaí ama chomhaid SFX agus OCX mar a chéile i gcónaí (0x57B0C36A (08/14/2016 @ 7:15pm UTC) agus 0x498BE80F (02/06/2009 @ 7:34am UTC) faoi seach). Is dócha go dtugann sé seo le fios go bhfuil “dearthóir” de shaghas éigin ag na húdair a úsáideann na teimpléid chéanna agus a athraíonn go simplí roinnt tréithe.
I measc na gcáipéisí a ndearnamar staidéar orthu ó thús 2018, tá ainmneacha éagsúla a thugann le fios na tíortha is díol spéise do na hionsaitheoirí:
— Faisnéis Teagmhála Nua na Cambodia Media(New).xls.exe
— 李建香 (个人简历).exe (doiciméad pdf falsa de CV)
— aiseolas, Railí i SAM ó 28-29 Iúil, 2018.exe
Ó thángthas ar an backdoor {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll agus foilsiú a anailíse ag roinnt taighdeoirí, thugamar faoi deara roinnt athruithe ar na sonraí cumraíochta malware.
Ar dtús, thosaigh na húdair ag baint ainmneacha ó DLLanna cúntóir (DNSprov.dll agus dhá leagan HttpProv.dll). Stop na hoibreoirí ansin le pacáistiú an tríú dll (an dara leagan HttpProv.dll), ag roghnú leabú ach ceann amháin.
Ar an dara dul síos, athraíodh go leor réimsí cumraíochta backdoor, is dócha go seachnófar iad a bhrath mar go raibh go leor IoCs ar fáil. I measc na réimsí tábhachtacha a d’athraigh na húdair tá:
- Athraíodh eochair chláraithe AppX (féach IoCs)
- teaghrán ionchódaithe mutex ("def", "abc", "ghi")
- uimhir phoirt
Ar deireadh, tá C&Canna nua liostaithe sa roinn IoCs ag gach leagan nua a ndéantar anailís orthu.
Torthaí
Leanann OceanLotus ag forbairt. Tá an cibearghrúpa dírithe ar na huirlisí agus na maisiúcháin a fheabhsú agus a leathnú. Déanann údair ualaí mailíseacha a cheilt trí úsáid a bhaint as doiciméid a tharraingíonn aird a bhfuil a n-ábhar ábhartha do na híospartaigh atá beartaithe. Forbraíonn siad scéimeanna nua agus úsáideann siad uirlisí atá ar fáil go poiblí, mar shampla leas a bhaint as Eagarthóir Cothromóidí. Ina theannta sin, tá uirlisí á bhfeabhsú acu chun líon na ndéantán atá fágtha ar mheaisíní íospartach a laghdú, rud a laghdóidh an seans go bhfaighidh siad bogearraí frithvíreas.
Indikatorы comprometации
Tá táscairí comhréitigh chomh maith le tréithe MITER ATT&CK ar fáil и .
Foinse: will.com
