Ma kēia pou e haʻi aku mākou iā ʻoe pehea i hoʻohana ai ka hui cyber OceanLotus (APT32 a me APT-C-00) i kekahi o nā hana i loaʻa i ka lehulehu.
Hoʻolaha ʻo OceanLotus i ka cyber espionage, me nā ʻāina i ka Hikina Hema o Asia. Hoʻopili nā mea hoʻouka i nā palapala e huki i ka manaʻo o ka poʻe i hoʻopilikia ʻia e hōʻoia iā lākou e hoʻokō i ka puka hope, a ke hana pū nei hoʻi i ka hoʻomohala ʻana i nā mea hana. ʻOkoʻa nā ʻano hana e hana ai i nā honeypots ma waena o nā hoʻouka ʻana, mai nā faila "double-extension", nā waihona kiʻi ponoʻī, nā palapala me nā macros, a hiki i nā hana i ʻike ʻia.
Ke hoʻohana nei i kahi hoʻohana ma Microsoft Equation Editor
I ka waena waena o 2018, ua alakaʻi ʻo OceanLotus i kahi hoʻolaha e hoʻohana ana i ka nāwaliwali CVE-2017-11882. Ua nānā ʻia kekahi o nā palapala ʻino o ka hui cyber e nā loea mai 360 Threat Intelligence Center (
ʻO ka hana mua
ʻO ka palapala FW Report on demonstration of former CNRP in Republic of Korea.doc
(SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3
) ua like ia me ka mea i oleloia ma ke ao ana maluna. He mea hoihoi ia no ka mea ua kuhikuhi ʻia i nā mea hoʻohana makemake i ka politika Cambodia (CNRP - Cambodia National Rescue Party, hoʻopau ʻia ma ka hopena o 2017). ʻOiai ka hoʻonui .doc, aia ka palapala ma ke ʻano RTF (e ʻike i ke kiʻi ma lalo), loaʻa ka code ʻōpala, a ua hoʻololi ʻia hoʻi.
Kiʻi 1. "Nā'ōpala" ma RTF
ʻOiai aia nā mea ʻino, wehe maikaʻi ʻo Word i kēia faila RTF. E like me kāu e ʻike ai ma ke Kiʻi 2, aia kahi hoʻolālā EQNOLEFILEHDR ma offset 0xC00, a ukali ʻia e kahi poʻomanaʻo MTEF, a laila kahi komo MTEF (Figure 3) no ka font.
Kiʻi 2. Nā waiwai komo FONT
Hōʻike 3.
Hiki ke kahe ma ke kula inoa, no ka mea, ʻaʻole nānā ʻia kona nui ma mua o ke kope ʻana. ʻO ka inoa lōʻihi loa e hoʻoulu i kahi nāwaliwali. E like me kāu e ʻike ai mai nā mea i loko o ka faila RTF (offset 0xC26 i ka Figure 2), ua hoʻopiha ʻia ka buffer me ka shellcode a ukali ʻia e kahi kauoha dummy (0x90
) a me ka helu wahi hoʻihoʻi 0x402114
. ʻO ka helu wahi he mea kūkākūkā i loko EQNEDT32.exe
, e kuhikuhi ana i na kuhikuhi RET
. Hoʻokumu kēia i ka EIP e kuhikuhi i ka hoʻomaka o ke kahua inoai loko o ka shellcode.
Kiʻi 4. Ka hoʻomaka ʻana o ka shellcode hoʻohana
Wāina 0x45BD3C
mālama i kahi ʻano hoʻololi i hoʻopaʻa ʻia a hiki i kahi kikoʻī i ka hale i hoʻouka ʻia i kēia manawa MTEFData
. Aia ke koena o ka shellcode.
ʻO ke kumu o ka shellcode e hoʻokō i ka ʻāpana ʻelua o ka shellcode i hoʻokomo ʻia i loko o ka palapala wehe. Ke ho'āʻo mua nei ka shellcode kumu e ʻimi i ka mea wehewehe faila o ka palapala wehe ma ka hoʻololi ʻana i nā mea wehewehe ʻōnaehana āpau (NtQuerySystemInformation
me ka hoopaapaa SystemExtendedHandleInformation
) a me ka nānā ʻana inā pili lākou PID mea wehewehe a PID kaʻina hana WinWord
a inā paha i wehe ʻia ka palapala me kahi huna huna - 0x12019F
.
E hōʻoia i ka loaʻa ʻana o ka lima kūpono (a ʻaʻole ka paʻa i kahi palapala wehe ʻē aʻe), hōʻike ʻia nā mea o ka faila me ka hoʻohana ʻana i ka hana. CreateFileMapping
, a nānā ka shellcode inā pili nā paita hope ʻehā o ka palapala "yyyy
"(Ke ʻano ʻimi hua manu). Ke ʻike ʻia kahi pāʻani, kope ʻia ka palapala i kahi waihona pōkole (GetTempPath
) Pehea ole.dll
. A laila heluhelu ʻia nā 12 bytes hope o ka palapala.
Kiʻi 5. Hoʻopau i nā māka palapala
32-bit waiwai ma waena o nā māka AABBCCDD
и yyyy
ʻo ia ka offset o ka shellcode aʻe. Kāhea ʻia ka hoʻohana ʻana i ka hana CreateThread
. Wehe ʻia ka shellcode like i hoʻohana ʻia e ka hui OceanLotus ma mua.
ʻO ka lua o ka hana
Wehe i nā ʻāpana
Koho ʻia nā inoa faila a me ka papa kuhikuhi. Koho ʻole ke code i ka inoa o ka faila hiki ke hoʻokō a DLL paha C:Windowssystem32
. A laila noi ʻo ia i kāna mau kumuwaiwai a hoʻihoʻi i ke kahua FileDescription
e hoʻohana e like me ka inoa waihona. Inā ʻaʻole hana kēia, koho wale ke code i kahi inoa folder mai nā papa kuhikuhi %ProgramFiles%
ai ole ia, C:Windows
(mai GetWindowsDirectoryW). Hōʻalo ia i ka hoʻohana ʻana i kahi inoa e kūʻē paha me nā faila i loaʻa a hōʻoia ʻaʻole i loaʻa nā huaʻōlelo aʻe: windows
, Microsoft
, desktop
, system
, system32
ai ole ia, syswow64
. Inā aia ka papa kuhikuhi, ua hoʻopili ʻia ka "NLS_{6 characters}" i ka inoa.
mau 0x102
ʻIke ʻia a hoʻolei ʻia nā faila i loko %ProgramFiles%
ai ole ia, %AppData%
, i kahi waihona i koho ʻole ʻia. Hoʻololi i ka manawa hana e loaʻa nā waiwai like me kernel32.dll
.
Eia kekahi laʻana, eia ka waihona a me ka papa inoa o nā faila i hana ʻia ma ke koho ʻana i ka mea hoʻokō C:Windowssystem32TCPSVCS.exe
ma ke ano he kumu ikepili.
Kiʻi 6. Ka unuhi ʻana i nā ʻāpana like ʻole
Hoʻolālā waiwai 0x102
i loko o kahi dropper paʻakikī loa. I ka pōkole, aia i loko:
— Nā inoa waihona
— Ka nui a me ka waihona
— Hōʻano hoʻoemi (COMPRESSION_FORMAT_LZNT1
, hoʻohana ʻia e ka hana RtlDecompressBuffer
)
Hoʻonohonoho hou ʻia ka faila mua e like me TCPSVCS.exe
, he mea pono AcroTranscoder.exe
(wahi a FileDescription
, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3
).
Ua ʻike paha ʻoe ua ʻoi aku ka nui o nā faila DLL ma mua o 11 MB. ʻO kēia no ka mea ua hoʻokomo ʻia kahi paʻi pili nui o ka ʻikepili random i loko o ka faila hiki ke hoʻokō. He ala kēia e pale aku ai i ka ʻike ʻia e kekahi mau huahana palekana.
E hōʻoia i ka hoʻomau
mau 0x101
Aia i loko o ka dropper ʻelua mau helu helu 32-bit e kuhikuhi ana i ke ʻano o ka hoʻomau. Hōʻike ka waiwai o ka mea mua i ka hoʻomau ʻana o ka malware me ka ʻole o nā kuleana luna.
Papa 1. Mekanikini hoomau me ka pono ole o ka luna hooponopono
Hōʻike ka waiwai o ka helu helu ʻelua i ke ʻano o ka malware e hoʻokō ai i ka hoʻomau i ka wā e holo ai me nā kuleana luna.
Papa 2. Mechanical hoomau me na kuleana luna
ʻO ka inoa lawelawe ka inoa faila me ka hoʻonui ʻole; ʻO ka inoa hōʻike ka inoa o ka waihona, akā inā i loaʻa, ua hoʻopili ʻia ke kaula " iā iaRevision 1
” (hoʻonui ka helu a loaʻa kahi inoa i hoʻohana ʻole ʻia). Ua hōʻoia ka poʻe hana i ka ikaika o ka hoʻomau ʻana ma o ka lawelawe - inā ʻaʻole i hāʻule, pono e hoʻomaka hou ka lawelawe ma hope o 1 kekona. A laila ka waiwai WOW64
Hoʻonohonoho ʻia ke kī hoʻopaʻa inoa o ka lawelawe hou i 4, e hōʻike ana he lawelawe 32-bit.
Hoʻokumu ʻia kahi hana i hoʻonohonoho ʻia ma o kekahi mau kikowaena COM: ITaskScheduler
, ITask
, ITaskTrigger
, IPersistFile
и ITaskScheduler
. ʻO ka mea nui, hana ka malware i kahi hana huna, hoʻonohonoho i ka ʻike moʻokāki me ka ʻike mea hoʻohana a luna hoʻomalu paha, a laila hoʻonohonoho i ke kumu.
He hana kēia i kēlā me kēia lā me ka lōʻihi o 24 mau hola a me nā manawa ma waena o nā hoʻokō ʻelua o 10 mau minuke, ʻo ia hoʻi e holo mau ana.
ʻAno ʻino
I kā mākou hiʻohiʻona, ka faila hoʻokō TCPSVCS.exe
(AcroTranscoder.exe
) he polokalamu kūpono e hoʻouka i nā DLL i hoʻonohonoho hou ʻia me ia. Ma keia hihia, he mea hoihoi Flash Video Extension.dll
.
ʻO kāna hana DLLMain
kahea wale i kekahi hana. Aia kekahi mau predicate fuzzy:
Kiʻi 7. Nā predicate fuzzy
Ma hope o kēia mau loiloi hoʻopunipuni, loaʻa i ke code kahi ʻāpana .text
faila TCPSVCS.exe
, hoʻololi i kona pale ʻana i PAGE_EXECUTE_READWRITE
a kākau hou iā ia ma ka hoʻohui ʻana i nā ʻōlelo kuhikuhi dummy:
Kiʻi 8. Ke kaʻina o nā kuhikuhi
Ma ka hope o ka helu hana FLVCore::Uninitialize(void)
, lawe ʻia aku i waho Flash Video Extension.dll
, hoʻohui ʻia ke aʻo ʻana CALL
. 'O ia ho'i, ma hope o ka ho'ouka 'ia 'ana o ka DLL hewa, i ka wā e kāhea aku ai ka runtime WinMain
в TCPSVCS.exe
, e kuhikuhi ana ka kuhikuhi kuhikuhi i NOP, e hana ana FLVCore::Uninitialize(void)
, pae hou.
Hoʻokumu wale ka hana i kahi mutex e hoʻomaka me {181C8480-A975-411C-AB0A-630DB8B0A221}
hahai ʻia e ka mea hoʻohana i kēia manawa. A laila heluhelu ia i ka faila *.db3 i hoʻolei ʻia, aia ka code kūʻokoʻa kūlana, a me nā hoʻohana CreateThread
e hoʻokō i ka ʻike.
ʻO nā mea i loko o ka faila *.db3 ka shellcode a ka hui OceanLotus e hoʻohana mau ai. Ua wehe hou mākou i kāna ukana me ka hoʻohana ʻana i ka palapala emulator a mākou i paʻi ai
Wehe ka palapala i ka pae hope. ʻO kēia ʻāpana he backdoor, a mākou i loiloi mua ai {A96B020F-0000-466F-A96D-A91BBF8EAC96}
waihona binary. Hoʻopili mau ʻia ka hoʻonohonoho malware ma ka waihona PE. Loaʻa iā ia ka hoʻonohonoho like, akā ʻokoʻa nā kikowaena C&C mai nā mea ma mua:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
Hōʻike hou ka hui ʻo OceanLotus i ka hui pū ʻana o nā ʻenehana like ʻole e pale aku i ka ʻike. Ua hoʻi lākou me kahi kiʻi "hoʻomaʻemaʻe" o ke kaʻina hana maʻi. Ma ke koho ʻana i nā inoa maʻamau a me ka hoʻopiha ʻana i nā mea hoʻokō me ka ʻikepili random, hoʻemi lākou i ka helu o IoC hilinaʻi (e pili ana i nā hashes a me nā inoa faila). Eia kekahi, mahalo i ka hoʻohana ʻana i ka hoʻouka DLL ʻaoʻao ʻekolu, pono wale nā mea hoʻouka e wehe i ka binary kūpono. AcroTranscoder
.
Waihona waihona
Ma hope o nā faila RTF, ua neʻe ka pūʻulu i nā waihona kiʻi kiʻi pilikino (SFX) me nā kiʻi palapala maʻamau e huikau hou i ka mea hoʻohana. Ua kākau ʻo Threatbook e pili ana i kēia ({A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
. Mai ka waena o Ianuali 2019, ua hoʻohana hou ʻo OceanLotus i kēia ʻenehana, akā hoʻololi i kekahi mau hoʻonohonoho i ka manawa. Ma kēia ʻāpana e kamaʻilio mākou e pili ana i ka ʻenehana a me nā loli.
Ka Hana ʻana i Lure
ʻO ka palapala THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE
(SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB
) i ʻike mua ʻia ma 2018. Ua hana naʻauao kēia faila SFX - ma ka wehewehe (ʻIke Manaʻo) ʻōlelo ʻia he kiʻi JPEG kēia. Penei ke ano o ka palapala SFX:
Kiʻi 9. Nā Kauoha SFX
Hoʻomaka hou ka polokalamu malware {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx
(SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC
), a me ke kiʻi 2018 thich thong lac.jpg.
Penei ke kiʻi hoʻopunipuni:
Kiʻi 10. Kiʻi decoy
Ua ʻike paha ʻoe i nā laina mua ʻelua i ka palapala SFX e kāhea ʻelua i ka faila OCX, akā ʻaʻole kēia he hewa.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
Ua like loa ke kahe mana o kahi faila OCX me nā ʻāpana ʻē aʻe o OceanLotus - he nui nā ʻano kauoha JZ/JNZ
и PUSH/RET
, hoʻololi ʻia me ke code ʻōpala.
Kiʻi 11. Ka helu huna
Ma hope o ke kānana ʻana i ke code junk, hoʻokuʻu aku DllRegisterServer
, kaheaia regsvr32.exe
, penei:
Kiʻi 12. Ke code installer kumu
Basically, ma ke kelepona mua DllRegisterServer
hoʻokomo i ka waiwai hoʻopaʻa inoa HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model
no ka hoʻopili ʻia ʻana ma DLL (0x10001DE0
).
Ke kapa ʻia ka hana i ka lua o ka manawa, heluhelu ʻo ia i ka waiwai like a hoʻokō ʻia ma kēlā helu. Mai ʻaneʻi e heluhelu ʻia a hoʻokō ʻia ka kumuwaiwai a me nā hana he nui i ka RAM.
ʻO ka shellcode ka mea hoʻoili PE like i hoʻohana ʻia i nā hoʻolaha ʻo OceanLotus i hala. Hiki ke hoʻohana ʻia db293b825dcc419ba7dc2c49fa2757ee.dll
, hoʻouka iā ia i ka hoʻomanaʻo a hoʻokō DllEntry
.
Wehe ka DLL i nā mea o kāna kumu waiwai, decrypts (AES-256-CBC) a me ka decompresses (LZMA) ia. Loaʻa i ka punawai kahi ʻano kikoʻī i maʻalahi e hoʻokaʻawale.
Kiʻi 13. Ka hoʻonohonoho hoʻonohonoho hoʻonohonoho (KaitaiStruct Visualizer)
Hōʻike maopopo ʻia ka hoʻonohonoho hoʻonohonoho - ma muli o ka pae pono, e kākau ʻia ka ʻikepili binary %appdata%IntellogsBackgroundUploadTask.cpl
ai ole ia, %windir%System32BackgroundUploadTask.cpl
(ai ole SysWOW64
no nā ʻōnaehana 64-bit).
Mālama ʻia ka hoʻomau hou ʻana ma ka hana ʻana i kahi hana me ka inoa BackgroundUploadTask[junk].job
kahi [junk]
hōʻike i kahi pūʻulu paita 0x9D
и 0xA0
.
Inoa Noi Hana %windir%System32control.exe
, a ʻo ka waiwai hoʻohālikelike ke ala i ka faila binary i hoʻoiho ʻia. Holo ka hana huna i kēlā me kēia lā.
Ma ke ʻano, ʻo kahi faila CPL he DLL me kahi inoa kūloko ac8e06de0a6c4483af9837d96504127e.dll
, ka mea e hoʻopuka i kahi hana CPlApplet
. Hoʻokaʻawale kēia faila i kāna kumu waiwai wale nō {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
, a laila hoʻouka i kēia DLL a kāhea i kāna hoʻokuʻu wale ʻana DllEntry
.
waihona hoʻonohonoho puka hope
Hoʻopili ʻia ka hoʻonohonoho backdoor a hoʻopili ʻia i kāna mau kumuwaiwai. ʻO ke ʻano o ka faila hoʻonohonoho e like loa me ka mea ma mua.
Kiʻi 14. Ka hoʻonohonoho hoʻonohonoho puka hope (KaitaiStruct Visualizer)
ʻOiai ua like ke ʻano o ke ʻano, ua hoʻonui ʻia ka nui o nā koina kahua mai nā mea i hōʻike ʻia
ʻO ka mea mua o ka hui binary he DLL (HttpProv.dll
MD5: 2559738D1BD4A999126F900C7357B759
),
Noi hou
I ka ʻohi ʻana i nā laʻana, ʻike mākou i kekahi mau hiʻohiʻona. Ua ʻike ʻia ka mea hoʻohālike i wehewehe ʻia ma kahi o Iulai 2018, a ʻo nā mea ʻē aʻe e like me ia i ʻike ʻia ma waena o Ianuali a i ka hoʻomaka ʻana o Pepeluali 2019. Ua hoʻohana ʻia ka waihona SFX ma ke ʻano he vector maʻi, e waiho ana i kahi palapala hoʻopunipuni kūpono a me kahi faila OSX ʻino.
ʻOiai ke hoʻohana nei ʻo OceanLotus i nā hōʻailona manawa hoʻopunipuni, ʻike mākou ua like mau nā manawa o nā faila SFX a me OCX (0x57B0C36A
(08/14/2016 @ 7:15pm UTC) a 0x498BE80F
(02/06/2009 @ 7:34am UTC). Hōʻike paha kēia i nā mea kākau i kekahi ʻano "mea hoʻolālā" e hoʻohana ana i nā mamana like a hoʻololi wale i kekahi mau hiʻohiʻona.
Ma waena o nā palapala a mākou i aʻo ai mai ka hoʻomaka ʻana o 2018, aia nā inoa like ʻole e hōʻike ana i nā ʻāina hoihoi i nā mea hoʻouka:
— ʻO ka ʻike pili hou o Cambodia Media(New).xls.exe
— 李建香 (个人简历).exe (palapala pdf hoʻopunipuni o kahi CV)
- manaʻo manaʻo, Rally ma USA mai Iulai 28-29, 2018.exe
Mai ka ʻike ʻia ʻana o ka puka hope {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
a me ka paʻi ʻana o kāna loiloi e kekahi mau mea noiʻi, ʻike mākou i kekahi mau loli i ka ʻikepili hoʻonohonoho malware.
ʻO ka mea mua, ua hoʻomaka nā mea kākau e wehe i nā inoa mai nā DLL kōkua (DNSprov.dll
a me ʻelua mana HttpProv.dll
). Ua ho'ōki nā mea hana i ka hoʻopili ʻana i ke kolu o ka DLL (ka lua o ka mana HttpProv.dll
), koho e hoʻokomo i hoʻokahi wale nō.
ʻO ka lua, ua hoʻololi ʻia nā kahua hoʻonohonoho backdoor, ʻaʻole paha e ʻike i ka nui o nā IoC i loaʻa. ʻO nā kahua koʻikoʻi i hoʻololi ʻia e nā mea kākau:
- Ua hoʻololi ʻia ke kī hoʻopaʻa inoa AppX (e ʻike iā IoC)
- mutex encoding string ("def", "abc", "ghi")
- helu awa
ʻO ka mea hope loa, loaʻa nā C&C hou a pau i hoʻopaʻa ʻia ma ka ʻāpana IoC.
haʻina
Ke hoʻomau nei ka hoʻomohala ʻana o OceanLotus. Hoʻokumu ka hui cyber i ka hoʻomaʻemaʻe a me ka hoʻonui ʻana i nā mea hana a me nā mea hoʻopunipuni. Hoʻopili nā mea kākau i nā ukana ʻino me ka hoʻohana ʻana i nā palapala hoʻopaʻapaʻa e pili ana ke kumuhana i ka poʻe i manaʻo ʻia. Hoʻokumu lākou i nā papahana hou a hoʻohana pū i nā mea hana i loaʻa i ka lehulehu, e like me ka hoʻohana ʻana o ka Equation Editor. Eia kekahi, ke hoʻomaikaʻi nei lākou i nā mea hana e hōʻemi i ka nui o nā mea hana i koe ma nā mīkini o ka poʻe i hōʻeha ʻia, a laila e hōʻemi ana i ka manawa e ʻike ʻia e ka polokalamu antivirus.
Nā hōʻailona o ke kuʻikahi
Loaʻa nā hōʻailona o ke kuʻikahi a me nā ʻano MITER ATT&CK
Source: www.habr.com