Anns an dreuchd seo innsidh sinn dhut mar a chleachd a’ bhuidheann saidhbear OceanLotus (APT32 agus APT-C-00) o chionn ghoirid aon de na buannachdan poblach airson , so-leòntachd coirbeachd cuimhne ann am Microsoft Office, agus mar a bhios malware na buidhne a’ coileanadh leantalachd air siostaman a tha ann an cunnart gun a bhith a’ fàgail lorg. An ath rud, bheir sinn cunntas air mar, bho thoiseach 2019, a tha a’ bhuidheann air a bhith a’ cleachdadh tasglannan fèin-tharraing gus còd a ruith.
Tha OceanLotus a’ speisealachadh ann an spionadh saidhbear, le targaidean prìomhachais nan dùthchannan ann an ear-dheas Àisia. Bidh luchd-ionnsaigh a’ cruthachadh sgrìobhainnean a tharraingeas aire luchd-fulaing a dh’fhaodadh a bhith aca gus toirt orra an cùl a chuir gu bàs, agus tha iad cuideachd ag obair air innealan a leasachadh. Bidh na dòighean a thathas a’ cleachdadh gus poitean meala a chruthachadh ag atharrachadh thairis air ionnsaighean, bho fhaidhlichean “leudachadh dùbailte”, tasglannan fèin-tharraing, sgrìobhainnean le macros, gu buannachdan aithnichte.
A’ cleachdadh brath ann an Microsoft Equation Editor
Ann am meadhan 2018, rinn OceanLotus iomairt a’ gabhail brath air so-leòntachd CVE-2017-11882. Chaidh aon de na sgrìobhainnean droch-rùnach aig a’ bhuidheann saidhbear a sgrùdadh le eòlaichean bho 360 Threat Intelligence Center (), a’ toirt a-steach tuairisgeul mionaideach air a’ bhuannachd. Anns an dreuchd gu h-ìosal tha sealladh farsaing air sgrìobhainn droch-rùnach mar sin.
Tha a 'chiad ìre
An sgrìobhainn FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) coltach ris an fheadhainn a chaidh ainmeachadh san sgrùdadh gu h-àrd. Tha e inntinneach oir tha e ag amas air luchd-cleachdaidh aig a bheil ùidh ann am poilitigs Cambodianach (CNRP - Pàrtaidh Teasairginn Nàiseanta Cambodia, air a sgaoileadh aig deireadh 2017). A dh'aindeoin an leudachadh .doc, tha an sgrìobhainn ann an cruth RTF (faic an dealbh gu h-ìosal), tha còd sgudail ann, agus tha e cuideachd air a ghluasad.
Figear 1. "Garbage" ann an RTF
Eadhon ged a tha eileamaidean garbled ann, bidh Word a’ fosgladh am faidhle RTF seo gu soirbheachail. Mar a chì thu ann am Figear 2, tha structar EQNOLEFILEHDR aig co-chothromachadh 0xC00, air a leantainn le bann-cinn MTEF, agus an uairsin inntrigeadh MTEF (Figear 3) airson a’ chruth-clò.
Figear 2. Luachan inntrigidh FONT
Figear 3.
Tar-shruth a dh’ fhaodadh a bhith san raon ainm, oir chan eil a mheud air a sgrùdadh mus tèid a chopaigeadh. Tha ainm a tha ro fhada ag adhbhrachadh so-leòntachd. Mar a chì thu bho shusbaint an fhaidhle RTF (air a cho-chothromachadh 0xC26 ann am Figear 2), tha am bufair air a lìonadh le còd slige agus an uairsin àithne meallta (0x90) agus seòladh air ais 0x402114. Tha an seòladh na eileamaid deasbaid ann an EQNEDT32.exe, a’ comharrachadh stiùireadh RET. Tha seo ag adhbhrachadh gu bheil EIP a’ comharrachadh toiseach an raoin ainmanns a bheil an slige-chòd.
Figear 4. Toiseach a 'chòd brathaidh
Seòladh 0x45BD3C a’ stòradh caochladair air a bheilear a’ toirt iomradh gus an ruig e puing don structar a tha air a luchdachadh an-dràsta MTEFData. Tha an còrr den chòd shlige an seo.
Is e adhbhar a’ chòd shlige an dàrna pìos de chòd shlige a chuir an gnìomh sa phàipear fhosgailte. Feuchaidh an còd slige tùsail an toiseach ri tuairisgeul faidhle na sgrìobhainn fhosgailte a lorg le bhith ag ath-aithris thairis air a h-uile tuairisgeul siostam (NtQuerySystemInformation le argamaid SystemExtendedHandleInformation) agus a’ dèanamh cinnteach a bheil iad a’ maidseadh PID tuairisgeul agus PID phròiseas WinWord agus an deach an sgrìobhainn fhosgladh le masg ruigsinneachd - 0x12019F.
Gus dearbhadh gun deach an làmh cheart a lorg (agus chan e an làmh gu sgrìobhainn fhosgailte eile), tha susbaint an fhaidhle air a thaisbeanadh leis a’ ghnìomh CreateFileMapping, agus bidh an còd slige a’ dearbhadh a bheil na ceithir byte mu dheireadh den sgrìobhainn a’ maidseadh"yyyy"(dòigh sealg uighean). Cho luath ‘s a lorgar maids, thèid an sgrìobhainn a chopaigeadh gu pasgan sealach (GetTempPath) Ciamar ole.dll. An uairsin thèid na 12 byte mu dheireadh den sgrìobhainn a leughadh.
Figear 5. Deireadh comharran sgrìobhainnean
Luach 32-bit eadar comharran AABBCCDD и yyyy 's e co-dhùnadh an ath shligecode. Canar cleachdadh an gnìomh ris CreateThread. Thoir a-mach an aon chòd shlige a chaidh a chleachdadh leis a’ bhuidheann OceanLotus na bu thràithe. , a chuir sinn a-mach sa Mhàrt 2018, fhathast ag obair airson an dàrna ìre dump.
An dàrna ìre
A 'toirt air falbh co-phàirtean
Tha ainmean faidhle is eòlaire air an taghadh gu dinamach. Bidh an còd a’ taghadh ainm an fhaidhle so-ghnìomhaichte no DLL air thuaiream C:Windowssystem32. Bidh e an uairsin a’ dèanamh iarrtas air na goireasan aige agus a’ faighinn air ais an raon FileDescription a chleachdadh mar ainm a’ phasgain. Mura obraich seo, taghaidh an còd air thuaiream ainm pasgan bho na clàran %ProgramFiles% no C:Windows (bho GetWindowsDirectoryW). Bidh e a’ seachnadh a bhith a’ cleachdadh ainm a dh’ fhaodadh a bhith an aghaidh na faidhlichean a th’ ann mu thràth agus a’ dèanamh cinnteach nach eil na faclan a leanas ann: windows, Microsoft, desktop, system, system32 no syswow64. Ma tha an t-eòlaire ann mu thràth, tha "NLS_{6 characters}" an cois an ainm.
stòras 0x102 air a sgrùdadh agus faidhlichean air an dumpadh a-steach %ProgramFiles% no %AppData%, gu pasgan a chaidh a thaghadh air thuaiream. Atharraich ùine cruthachaidh gus na h-aon luachan a bhith agad kernel32.dll.
Mar eisimpleir, seo am pasgan agus liosta de na faidhlichean a chaidh a chruthachadh le bhith a’ taghadh an gnìomh C:Windowssystem32TCPSVCS.exe mar stòr dàta.
Figear 6. A 'toirt a-mach diofar phàirtean
Structar stòrais 0x102 ann an dropper gu math iom-fhillte. Ann an ùine ghoirid, tha e a’ toirt a-steach:
- Ainmean faidhle
- Meud faidhle agus susbaint
- cruth teannachaidh (COMPRESSION_FORMAT_LZNT1, air a chleachdadh leis a 'ghnìomh RtlDecompressBuffer)
Tha a’ chiad fhaidhle air ath-shuidheachadh mar TCPSVCS.exe, a tha dligheach AcroTranscoder.exe (A rèir FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
Is dòcha gu bheil thu air mothachadh gu bheil cuid de na faidhlichean DLL nas motha na 11 MB. Tha seo air sgàth gu bheil bufair mòr faisg air làimh de dhàta air thuaiream air a chuir am broinn an fhaidhle so-ghnìomhaichte. Tha e comasach gur e dòigh a tha seo gus lorg fhaighinn le cuid de thoraidhean tèarainteachd.
A 'dèanamh cinnteach à seasmhachd
stòras 0x101 anns an dropper tha dà chunntas 32-bit a tha a’ sònrachadh mar a bu chòir seasmhachd a thoirt seachad. Tha luach a’ chiad fhear a’ sònrachadh mar a mhaireas an malware gun chòraichean rianaire.
Clàr 1. Uidheam seasmhachd gun chòraichean rianadair
Tha luach an dàrna àireamh-sluaigh a 'sònrachadh mar a bu chòir don malware a bhith seasmhach nuair a bhios e a' ruith le còraichean rianadair.
Clàr 2. Uidheam seasmhachd le còraichean rianadair
Is e ainm na seirbheis an t-ainm faidhle gun leudachadh; is e an t-ainm taisbeanaidh ainm a’ phasgan, ach ma tha e ann mu thràth, tha an sreang “ ceangailte risRevision 1” (tha an àireamh ag èirigh gus an lorgar ainm nach deach a chleachdadh). Rinn na gnìomhaichean cinnteach gu robh seasmhachd tron t-seirbheis làidir - ma dh’ fhàilligeadh, bu chòir an t-seirbheis ath-thòiseachadh às deidh 1 diog. An uairsin an luach WOW64 Tha iuchair clàraidh na seirbheis ùr air a shuidheachadh gu 4, a’ nochdadh gur e seirbheis 32-bit a th’ ann.
Tha gnìomh clàraichte air a chruthachadh tro ghrunn eadar-aghaidh COM: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. Gu bunaiteach, bidh an malware a ’cruthachadh gnìomh falaichte, a’ suidheachadh fiosrachadh cunntais còmhla ris an fhiosrachadh cleachdaiche no rianadair gnàthach, agus an uairsin a ’suidheachadh an inneal brosnachaidh.
Is e obair làitheil a tha seo a mhaireas 24 uairean agus amannan eadar dà chur gu bàs de 10 mionaidean, a tha a’ ciallachadh gun ruith e gu leantainneach.
Beagan droch-rùnach
Anns an eisimpleir againn, am faidhle so-ghnìomhaichte TCPSVCS.exe (AcroTranscoder.exe) na bhathar-bog dligheach a bhios a’ luchdachadh DLLs a thèid ath-shuidheachadh còmhla ris. Anns a 'chùis seo, tha e inntinneach Flash Video Extension.dll.
A ghnìomh DLLMain dìreach gairm gnìomh eile. Tha cuid de ro-innsean neònach an làthair:
Figear 7. Fuzzy predicate
Às deidh na sgrùdaidhean meallta sin, gheibh an còd earrann .text faidhle TCPSVCS.exe, ag atharrachadh a dhìon gu PAGE_EXECUTE_READWRITE agus ath-sgrìobhadh e le bhith a’ cur stiùireadh meallta ris:
Figear 8. Sreath stiùiridh
Aig deireadh an t-seòlaidh gnìomh FLVCore::Uninitialize(void), às-mhalairt Flash Video Extension.dll, tha stiùireadh air a chur ris CALL. Tha seo a’ ciallachadh, às deidh an DLL droch-rùnach a luchdachadh, nuair a bhios an ùine ruith a’ gairm WinMain в TCPSVCS.exe, comharraichidh an neach-stiùiridh gu NOP, ag adhbhrachadh FLVCore::Uninitialize(void), an ath ìre.
Tha an gnìomh dìreach a’ cruthachadh mutex a’ tòiseachadh le {181C8480-A975-411C-AB0A-630DB8B0A221}air a leantainn leis an ainm-cleachdaidh làithreach. Leughaidh e an uairsin am faidhle *.db3 a chaidh a dhumpadh, anns a bheil còd neo-eisimeileach suidheachadh, agus cleachdaidhean CreateThread gus an susbaint a chuir an gnìomh.
'S e susbaint an fhaidhle *.db3 an slige-chòd a bhios buidheann OceanLotus a' cleachdadh gu h-àbhaisteach. Shoirbhich leinn le bhith a’ dì-phapadh an eallach pàighidh againn a’ cleachdadh an sgriobt emuladair a dh’ fhoillsich sinn .
Tha an sgriobt a’ toirt a-mach an ìre mu dheireadh. Tha am pàirt seo na chùl-raon, a tha sinn air mion-sgrùdadh a dhèanamh ann mu thràth . Faodar seo a dhearbhadh leis an GUID {A96B020F-0000-466F-A96D-A91BBF8EAC96} faidhle binary. Tha an rèiteachadh malware fhathast air a chrioptachadh ann an goireas PE. Tha timcheall air an aon rèiteachadh aige, ach tha na frithealaichean C&C eadar-dhealaichte bhon fheadhainn a bh’ ann roimhe:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
Tha sgioba OceanLotus a-rithist a’ nochdadh measgachadh de dhiofar dhòighean gus lorg a sheachnadh. Thill iad le diagram “mìnichte” den phròiseas gabhaltachd. Le bhith a’ taghadh ainmean air thuaiream agus a’ lìonadh executables le dàta air thuaiream, bidh iad a’ lughdachadh an àireamh de IoCn earbsach (stèidhichte air hashes agus ainmean faidhle). A bharrachd air an sin, mar thoradh air cleachdadh luchdachadh DLL treas-phàrtaidh, chan fheum luchd-ionnsaigh ach am binary dligheach a thoirt air falbh AcroTranscoder.
Fèin-tharraing tasglannan
Às deidh faidhlichean RTF, ghluais a’ bhuidheann gu tasglannan fèin-tharraing (SFX) le ìomhaighean sgrìobhainnean cumanta gus an neach-cleachdaidh a chuir troimh-chèile tuilleadh. Sgrìobh Leabhar-cagairt mu dheidhinn seo (). Nuair a thèid a chuir air bhog, thèid faidhlichean RAR fèin-tharraing a leigeil sìos agus thèid DLLs le leudachadh .ocx a chuir gu bàs, agus chaidh an uallach pàighidh mu dheireadh dhiubh a chlàradh roimhe seo {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. Bho mheadhan an Fhaoillich 2019, tha OceanLotus air a bhith ag ath-chleachdadh an dòigh seo, ach ag atharrachadh cuid de rèiteachaidhean thar ùine. Anns an earrainn seo bidh sinn a 'bruidhinn mu dheidhinn an dòigh-obrach agus atharrachaidhean.
Cruthachadh Lure
An sgrìobhainn THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) a lorg an toiseach ann an 2018. Chaidh am faidhle SFX seo a chruthachadh gu ciallach - anns an tuairisgeul (Fiosrachadh dreach) tha e ag ràdh gur e dealbh JPEG a tha seo. Tha an sgriobt SFX a’ coimhead mar seo:
Figear 9. SFX Command
Bidh an malware ag ath-shuidheachadh {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), a bharrachd air dealbh 2018 thich thong lac.jpg.
Tha an ìomhaigh decoy a 'coimhead mar seo:
Figear 10. Ìomhaigh decoy
Is dòcha gu bheil thu air mothachadh gu bheil a’ chiad dà loidhne ann an sgriobt SFX a’ gairm am faidhle OCX dà uair, ach chan e mearachd a tha seo.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
Tha sruth smachd faidhle OCX glè choltach ri co-phàirtean OceanLotus eile - iomadh sreath àithne JZ/JNZ и PUSH/RET, mu seach le còd sgudail.
Figear 11. Còd obfuscated
Às deidh dhut còd sgudail a shìoladh, às-mhalairt DllRegisterServer, ghairm regsvr32.exe, mar a leanas:
Figear 12. Còd stàlaidh bunaiteach
Gu bunaiteach, air a’ chiad ghairm DllRegisterServer às-mhalairt a’ suidheachadh luach clàraidh HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model airson dì-chrioptachadh ann an DLL (0x10001DE0).
Nuair a chanar ris a’ ghnìomh an dàrna turas, bidh e a’ leughadh an aon luach agus a’ cur an gnìomh aig an t-seòladh sin. Às an seo tha an goireas agus mòran ghnìomhan ann an RAM air an leughadh agus air an cur an gnìomh.
Is e an còd slige an aon luchdan PE a chaidh a chleachdadh ann an iomairtean OceanLotus san àm a dh'fhalbh. Faodaidh e bhith air aithris le bhith a 'cleachdadh . Aig a 'cheann thall tha e ag ath-shuidheachadh db293b825dcc419ba7dc2c49fa2757ee.dll, ga luchdachadh gu cuimhne agus ga chur an gnìomh DllEntry.
Bidh an DLL a’ toirt a-mach susbaint a ghoireas, ga dhì-chrioptachadh (AES-256-CBC) agus ga dhì-dhùmhlachadh (LZMA). Tha cruth sònraichte aig a’ ghoireas a tha furasta a dhì-chruinneachadh.
Figear 13. Structar rèiteachaidh an stàlaichear (KaitaiStruct Visualizer)
Tha an rèiteachadh air a shònrachadh gu soilleir - a rèir na h-ìre sochair, thèid dàta binary a sgrìobhadh thuige %appdata%IntellogsBackgroundUploadTask.cpl no %windir%System32BackgroundUploadTask.cpl (no SysWOW64 airson siostaman 64-bit).
Tha tuilleadh seasmhachd air a dhèanamh cinnteach le bhith a’ cruthachadh gnìomh leis an ainm BackgroundUploadTask[junk].jobcàite [junk] a’ riochdachadh seata de bytes 0x9D и 0xA0.
Ainm Iarrtas Gnìomh %windir%System32control.exe, agus is e luach paramadair an t-slighe chun fhaidhle binary a chaidh a luchdachadh sìos. Bidh an obair falaichte a 'ruith gach latha.
Gu structarail, tha faidhle CPL na DLL le ainm a-staigh ac8e06de0a6c4483af9837d96504127e.dll, a tha às-mhalairt gnìomh CPlApplet. Tha am faidhle seo a' dì-chrioptachadh an aon ghoireas a th' aige {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, an uairsin luchdaichidh e an DLL seo agus gairm an aon às-mhalairt aige DllEntry.
Faidhle rèiteachaidh backdoor
Tha an rèiteachadh backdoor air a chrioptachadh agus freumhaichte anns na goireasan aige. Tha structar an fhaidhle rèiteachaidh glè choltach ris an fhear roimhe.
Figear 14. Structar rèiteachaidh backdoor (KaitaiStruct Visualizer)
Ged a tha an structar coltach, chaidh mòran de na luachan raoin ùrachadh bhon fheadhainn a chithear ann an .
Anns a’ chiad eileamaid den raon binary tha DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), . Ach leis gun deach an t-ainm às-mhalairt a thoirt air falbh bhon binary, chan eil na hashes a’ freagairt.
Rannsachadh a bharrachd
Nuair a bha sinn a’ cruinneachadh sampaill, mhothaich sinn cuid de fheartan. Nochd an sampall a chaidh a mhìneachadh dìreach timcheall air an Iuchar 2018, agus nochd cuid eile mar e cho fada ri meadhan an Fhaoillich gu tràth sa Ghearran 2019. Chaidh tasglann SFX a chleachdadh mar vectar gabhaltachd, a’ leigeil às sgrìobhainn decoy dligheach agus faidhle droch-rùnach OSX.
Eadhon ged a bhios OceanLotus a’ cleachdadh clàran-ama meallta, mhothaich sinn gu bheil na clàran-ama airson faidhlichean SFX agus OCX an-còmhnaidh mar an ceudna (0x57B0C36A (08/14/2016 @ 7:15f UTC) agus 0x498BE80F (02/06/2009 @ 7:34m UTC) fa leth). Is dòcha gu bheil seo a’ nochdadh gu bheil seòrsa de “dealbhaiche” aig na h-ùghdaran a bhios a’ cleachdadh na h-aon teamplaidean agus dìreach ag atharrachadh cuid de fheartan.
Am measg nan sgrìobhainnean a tha sinn air a sgrùdadh bho thoiseach 2018, tha grunn ainmean a’ nochdadh nan dùthchannan anns a bheil ùidh aig an luchd-ionnsaigh:
— Am fiosrachadh conaltraidh ùr aig Cambodia Media(New).xls.exe
— 李建香 (个人简历).exe (sgrìobhainn pdf meallta de CV)
- fios air ais, Rally anns na SA bhon Iuchar 28-29, 2018.exe
Bho chaidh an doras cùil a lorg {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll agus foillseachadh an anailis aige le grunn luchd-rannsachaidh, chunnaic sinn cuid de dh’ atharrachaidhean ann an dàta rèiteachaidh malware.
An toiseach, thòisich na h-ùghdaran air ainmean a thoirt air falbh bho DLLs cuideachaidh (DNSprov.dll agus dà dhreach HttpProv.dll). Sguir na gnìomhaichean an uairsin pacadh an treas DLL (an dàrna dreach HttpProv.dll), a’ roghnachadh dìreach aon fhighe a-steach.
San dàrna h-àite, chaidh mòran raointean rèiteachaidh cùl-raoin atharrachadh, dualtach lorg a sheachnadh leis gu robh mòran IoCs rim faighinn. Am measg nan raointean cudromach a dh’ atharraich na h-ùghdaran tha:
- iuchair clàraidh AppX air atharrachadh (faic IoCs)
- sreang còdachadh mutex ("def", "abc", "ghi")
- àireamh port
Mu dheireadh, tha C&Cn ùra air an liostadh anns a h-uile dreach ùr a chaidh a sgrùdadh anns an roinn IoCs.
toraidhean
Tha OceanLotus a’ leantainn air adhart a’ leasachadh. Tha a’ bhuidheann saidhbear ag amas air a bhith ag ùrachadh agus a’ leudachadh nan innealan agus nan decoys. Bidh ùghdaran a’ falach luchdan pàighidh droch-rùnach a’ cleachdadh sgrìobhainnean tarraingeach aig a bheil an cuspair buntainneach don luchd-fulaing a tha san amharc. Bidh iad a’ leasachadh sgeamaichean ùra agus cuideachd a’ cleachdadh innealan a tha rim faighinn gu poblach, leithid brath Deasaiche Co-aontar. A bharrachd air an sin, tha iad a’ leasachadh innealan gus an àireamh de stuthan a tha air fhàgail air innealan luchd-fulaing a lughdachadh, agus mar sin a’ lughdachadh an cothrom gun lorgar iad le bathar-bog antivirus.
Comharran co-rèiteachaidh
Tha comharran co-rèiteachaidh a bharrachd air buadhan MITER ATT&CK rim faighinn и .
Source: www.habr.com