Nan pòs sa a nou pral di w kijan gwoup cyber OceanLotus (APT32 ak APT-C-00) te fèk itilize youn nan exploit ki disponib piblikman pou , vilnerabilite koripsyon memwa nan Microsoft Office, ak fason malveyan gwoup la reyalize pèsistans yap ogmante jiska sistèm konpwomèt san yo pa kite yon tras. Apre sa, nou pral dekri ki jan, depi kòmansman ane 2019, gwoup la te itilize achiv pwòp tèt ou-extrait pou kouri kòd.
OceanLotus espesyalize nan espyonaj cyber, ak sib priyorite yo se peyi nan Sidès Lazi. Atakè yo fòje dokiman ki atire atansyon potansyèl viktim yo pou konvenk yo pou yo egzekite backdoor a, epi tou ap travay sou devlope zouti. Metòd yo itilize pou kreye honeypots yo varye atravè atak, ki soti nan fichye "double ekstansyon", achiv pwòp tèt ou-ekstraksyon, dokiman ak makro, ak eksplwa li te ye.
Sèvi ak yon exploit nan Microsoft Equation Editor
Nan mitan ane 2018, OceanLotus te fè yon kanpay eksplwate vilnerabilite CVE-2017-11882. Youn nan dokiman move nan gwoup la cyber te analize pa espesyalis nan 360 Threat Intelligence Center (), ki gen ladan yon deskripsyon detaye eksplwatasyon an. Pòs ki anba a gen yon apèsi sou yon dokiman move konsa.
Premye etap-la
Dokiman an FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) se menm jan ak sa ki mansyone nan etid ki anwo a. Li enteresan paske li vize a itilizatè ki enterese nan politik Kanbòdj (CNRP - Pati Sekou Nasyonal Kanbòdj, fonn nan fen 2017). Malgre ekstansyon .doc la, dokiman an se nan fòma RTF (gade foto ki anba a), li gen kòd fatra, epi li tou defòme.
Figi 1. "Fatra" nan RTF
Menm si gen eleman konfizyon, Word ouvè fichye RTF sa a avèk siksè. Kòm ou ka wè nan Figi 2, gen yon estrikti EQNOLEFILEHDR nan konpanse 0xC00, ki te swiv pa yon header MTEF, ak Lè sa a, yon antre MTEF (Figi 3) pou font la.
Figi 2. Valè antre FONT
Figi 3.
Posib debòde nan jaden an File, paske gwosè li pa tcheke anvan kopye. Yon non ki twò long deklanche yon vilnerabilite. Kòm ou ka wè nan sa ki nan fichye RTF la (desantre 0xC26 nan Figi 2), tanpon an plen ak shellcode ki te swiv pa yon lòd enbesil (0x90) ak adrès retounen 0x402114. Adrès la se yon eleman dyalòg nan EQNEDT32.exe, ki endike enstriksyon yo RET. Sa lakòz EIP lonje dwèt sou kòmansman jaden an Fileki gen shellcode a.
Figi 4. Kòmanse eksplwate shellcode la
Adrès 0x45BD3C estoke yon varyab ki dereferans jiskaske li rive nan yon konsèy sou estrikti ki chaje kounye a MTEFData. Rès shellcode a se isit la.
Objektif shellcode a se pou egzekite dezyèm moso shellcode entegre nan dokiman ouvè a. Shellcode orijinal la premye eseye jwenn deskriptè dosye a nan dokiman ouvè a pa iterasyon sou tout deskriptè sistèm yo (NtQuerySystemInformation ak yon agiman SystemExtendedHandleInformation) epi tcheke si yo matche PID deskriptè ak PID pwosesis WinWord epi si dokiman an te louvri ak yon mask aksè - 0x12019F.
Pou konfime ke yo te jwenn manch ki kòrèk la (epi yo pa manch lan nan yon lòt dokiman ouvè), sa ki nan dosye a ap parèt lè l sèvi avèk fonksyon an. CreateFileMapping, ak shellcode a tcheke si kat dènye octets dokiman an matche ak "yyyy"(Metòd lachas ze). Yon fwa yo jwenn yon match, yo kopye dokiman an nan yon katab tanporè (GetTempPath) Kouman ole.dll. Lè sa a, yo li 12 dènye octets dokiman an.
Figi 5. Fen makè dokiman yo
Valè 32-bit ant makè yo AABBCCDD и yyyy se konpanse nan pwochen shellcode la. Li rele itilize fonksyon an CreateThread. Ekstrè menm shellcode ke gwoup OceanLotus te itilize anvan an. , ke nou te lage nan mwa mas 2018, toujou ap travay pou dezyèm etap pil fatra a.
Etap nan dezyèm
Retire Eleman
Non dosye ak anyè yo chwazi dinamik. Kòd la chwazi owaza non ègzekutabl la oswa dosye DLL nan C:Windowssystem32. Lè sa a, li fè yon demann nan resous li yo ak rekipere jaden an FileDescription pou itilize kòm non katab la. Si sa a pa travay, kòd la chwazi owaza yon non katab nan repèrtwar yo %ProgramFiles% oswa C:Windows (soti nan JwennWindowsDirectoryW). Li evite itilize yon non ki ta ka antre an konfli ak dosye ki deja egziste yo epi li asire ke li pa gen mo sa yo: windows, Microsoft, desktop, system, system32 oswa syswow64. Si anyè a deja egziste, "NLS_{6 karaktè}" ajoute nan non an.
resous 0x102 yo analize epi yo jete dosye yo %ProgramFiles% oswa %AppData%, nan yon katab chwazi owaza. Chanje tan kreyasyon pou gen menm valè ak kernel32.dll.
Pou egzanp, isit la se katab la ak lis dosye ki te kreye pa chwazi ègzèkutabl la C:Windowssystem32TCPSVCS.exe kòm yon sous done.
Figi 6. Ekstrè divès konpozan
Estrikti resous 0x102 nan yon gout se byen konplèks. Nan yon bref, li gen ladan l:
— Non dosye
- Gwosè dosye ak kontni
— Fòma konpresyon (COMPRESSION_FORMAT_LZNT1, itilize pa fonksyon an RtlDecompressBuffer)
Premye fichye a reset kòm TCPSVCS.exe, ki lejitim AcroTranscoder.exe (dapre FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
Ou ka remake ke kèk dosye DLL yo pi gwo pase 11 MB. Sa a se paske yon gwo tanpon kontigu nan done o aza yo mete andedan dosye a ègzèkutabl. Li posib ke sa a se yon fason pou fè pou evite deteksyon pa kèk pwodwi sekirite.
Asire pèsistans
resous 0x101 nan gout la gen de nonb antye relatif 32-bit ki presize ki jan yo ta dwe bay pèsistans. Valè premye a presize kijan malveyan an ap pèsiste san dwa administratè.
Tablo 1. Mekanis pèsistans san dwa administratè
Valè dezyèm nonb antye relatif la espesifye ki jan malveyan an ta dwe reyalize pèsistans yap kouri ak dwa administratè.
Tablo 2. Mekanis pèsistans ak dwa administratè
Non sèvis la se non fichye a san ekstansyon; non ekspozisyon an se non katab la, men si li deja egziste, se fisèl " an ajoute sou liRevision 1” (nimewo a ogmante jiskaske yo jwenn yon non ki pa itilize). Operatè yo te asire ke pèsistans nan sèvis la te gaya - nan ka ta gen echèk, sèvis la ta dwe rekòmanse apre 1 segonn. Lè sa a, valè a WOW64 Kle rejis nouvo sèvis la mete sou 4, sa ki endike ke li se yon sèvis 32-bit.
Yon travay pwograme kreye atravè plizyè koòdone COM: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. Esansyèlman, malveyan an kreye yon travay kache, mete enfòmasyon sou kont ansanm ak itilizatè aktyèl la oswa enfòmasyon administratè a, ak Lè sa a, mete deklanche la.
Sa a se yon travay chak jou ak yon dire 24 èdtan ak entèval ant de ekzekisyon nan 10 minit, ki vle di ke li pral kouri kontinyèlman.
Move move
Nan egzanp nou an, dosye a ègzèkutabl TCPSVCS.exe (AcroTranscoder.exe) se lojisyèl lejitim ki chaje DLL ki reset ansanm ak li. Nan ka sa a, li se yon enterè Flash Video Extension.dll.
Fonksyon li DLLMain jis rele yon lòt fonksyon. Gen kèk predikatè flou ki prezan:
Figi 7. Predikate flou
Apre chèk sa yo ki twonpe, kòd la jwenn yon seksyon .text dosye TCPSVCS.exe, chanje defans li a PAGE_EXECUTE_READWRITE epi reekri li lè w ajoute enstriksyon enbesil:
Figi 8. Sekans enstriksyon yo
Nan fen adrès la fonksyon FLVCore::Uninitialize(void), ekspòte Flash Video Extension.dll, yo ajoute enstriksyon CALL. Sa vle di ke apre DLL move a chaje, lè ègzekutabl la rele WinMain в TCPSVCS.exe, konsèy enstriksyon an pral lonje dwèt sou NOP, sa ki lakòz FLVCore::Uninitialize(void), pwochen etap.
Fonksyon an tou senpleman kreye yon mutex kòmanse ak {181C8480-A975-411C-AB0A-630DB8B0A221}ki te swiv pa non itilizatè aktyèl la. Lè sa a, li li jete *.db3 dosye a, ki gen kòd pozisyon endepandan, epi sèvi ak CreateThread pou egzekite kontni an.
Sa ki nan *.db3 fichye a se shellcode gwoup OceanLotus la anjeneral itilize. Nou ankò avèk siksè depake chaj li yo lè l sèvi avèk script Emulation nou pibliye a .
Script la ekstrè etap final la. Eleman sa a se yon backdoor, ke nou te deja analize nan . Sa a ka detèmine pa GUID la {A96B020F-0000-466F-A96D-A91BBF8EAC96} dosye binè. Konfigirasyon malveyan an toujou chiffres nan resous PE a. Li gen apeprè menm konfigirasyon an, men sèvè C&C yo diferan de sa yo anvan yo:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
Ekip OceanLotus la ankò demontre yon konbinezon diferan teknik pou evite deteksyon. Yo te retounen ak yon dyagram "rafine" nan pwosesis enfeksyon an. Lè yo chwazi non o aza ak ranpli ègzèkutabl ak done o aza, yo diminye kantite IoC serye (ki baze sou hash ak non dosye). Anplis, gras a itilizasyon chaj DLL twazyèm pati, atakè yo sèlman bezwen retire binè lejitim la. AcroTranscoder.
Oto-ekstrè achiv yo
Apre dosye RTF, gwoup la te deplase nan achiv pwòp tèt ou (SFX) ak ikon dokiman komen pou plis konfonn itilizatè a. Threatbook te ekri sou sa (). Lè yo te lanse, yo jete fichye RAR ki retire tèt yo epi yo egzekite DLL ki gen yon ekstansyon .ocx, yo te deja dokimante chaj final la. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. Depi mitan mwa janvye 2019, OceanLotus te re-itilize teknik sa a, men chanje kèk konfigirasyon sou tan. Nan seksyon sa a nou pral pale sou teknik la ak chanjman.
Kreye yon lure
Dokiman an THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) te jwenn premye nan 2018. Fichye SFX sa a te kreye avèk sajès - nan deskripsyon an (Info vèsyon) li di sa a se yon imaj JPEG. Script SFX la sanble sa a:
Figi 9. Kòmandman SFX
Malveyan yo reset {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), osi byen ke yon foto 2018 thich thong lac.jpg.
Imaj dekoy la sanble sa a:
Figi 10. Decoy imaj
Ou ka remake ke de premye liy yo nan script SFX la rele dosye OCX a de fwa, men sa a se pa yon erè.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
Koule kontwòl yon dosye OCX sanble anpil ak lòt eleman OceanLotus - anpil sekans lòd JZ/JNZ и PUSH/RET, altène ak kòd fatra.
Figi 11. Kòd obfuscate
Apre filtre kòd tenten, ekspòtasyon DllRegisterServer, rele regsvr32.exe, jan sa a:
Figi 12. Kòd enstalatè debaz
Fondamantalman, sou premye apèl la DllRegisterServer ekspòtasyon mete valè rejis HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model pou konpanse chifre nan DLL (0x10001DE0).
Lè yo rele fonksyon an yon dezyèm fwa, li li menm valè a epi li egzekite nan adrès sa a. Soti isit la resous la ak anpil aksyon nan RAM yo li ak egzekite.
Shellcode a se menm chajè PE yo itilize nan kanpay OceanLotus ki sot pase yo. Li ka imite lè l sèvi avèk . Nan fen li reset db293b825dcc419ba7dc2c49fa2757ee.dll, chaje li nan memwa ak egzekite DllEntry.
DLL la ekstrè sa ki nan resous li yo, dekripte (AES-256-CBC) ak dekonprese (LZMA). Resous la gen yon fòma espesifik ki fasil pou dekonpile.
Figi 13. Estrikti konfigirasyon enstale (KaitaiStruct Visualizer)
Konfigirasyon an espesifye klèman - depann sou nivo privilèj, done binè yo pral ekri nan %appdata%IntellogsBackgroundUploadTask.cpl oswa %windir%System32BackgroundUploadTask.cpl (Oswa SysWOW64 pou sistèm 64-bit).
Pli lwen pèsistans yap ogmante jiska asire pa kreye yon travay ak non BackgroundUploadTask[junk].jobkote [junk] reprezante yon seri byte 0x9D и 0xA0.
Non aplikasyon pou Objektif Travay la %windir%System32control.exe, ak valè paramèt la se chemen ki mennen nan dosye binè telechaje a. Travay la kache kouri chak jou.
Estriktirèl, yon dosye CPL se yon DLL ak yon non entèn ac8e06de0a6c4483af9837d96504127e.dll, ki ekspòte yon fonksyon CPlApplet. Fichye sa a dekripte sèlman resous li yo {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, Lè sa a, chaje DLL sa a epi li rele sèlman ekspòtasyon li yo DllEntry.
Dosye konfigirasyon Backdoor
Konfigirasyon backdoor la ankripte ak entegre nan resous li yo. Estrikti nan fichye konfigirasyon an trè menm jan ak youn anvan an.
Figi 14. Estrikti konfigirasyon Backdoor (KaitaiStruct Visualizer)
Malgre ke estrikti a sanble, anpil nan valè jaden yo te mete ajou de sa yo montre nan .
Premye eleman nan etalaj binè a gen yon DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), . Men, depi non ekspòtasyon an te retire nan binè a, hashes yo pa matche.
Lòt rechèch
Pandan n ap kolekte echantiyon yo, nou remake kèk karakteristik. Espesimèn ki jis dekri a te parèt alantou jiyè 2018, ak lòt tankou li te parèt tou resamman nan mitan mwa janvye jiska kòmansman fevriye 2019. Achiv SFX yo te itilize kòm yon vektè enfeksyon, jete yon dokiman lejitim ak yon fichye OSX move.
Menmsi OceanLotus sèvi ak fo timestamps, nou remake ke timestamps yo nan dosye SFX ak OCX yo toujou menm (0x57B0C36A (08/14/2016 @ 7:15 pm UTC) ak 0x498BE80F (02/06/2009 @ 7:34 am UTC) respektivman). Sa a pwobableman endike ke otè yo gen kèk kalite "designer" ki sèvi ak modèl yo menm epi tou senpleman chanje kèk karakteristik.
Pami dokiman yo ke nou te etidye depi kòmansman ane 2018 la, gen plizyè non ki endike peyi ki enterese atakè yo:
— Nouvo enfòmasyon kontak Kanbòdj Media(New).xls.exe
— 李建香 (个人简历).exe (fo dokiman pdf nan yon CV)
— fidbak, rasanbleman nan USA soti 28-29 jiyè, 2018.exe
Depi backdoor la te dekouvri {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll ak piblikasyon an nan analiz li yo pa chèchè plizyè, nou obsève kèk chanjman nan done yo konfigirasyon malveyan.
Premyèman, otè yo te kòmanse retire non nan DLL asistan yo (DNSprov.dll ak de vèsyon HttpProv.dll). Operatè yo te sispann anbalaj twazyèm DLL (dezyèm vèsyon an HttpProv.dll), w ap chwazi entegre yon sèl.
Dezyèmman, anpil jaden konfigirasyon backdoor yo te chanje, gen anpil chans pou yo evade deteksyon kòm anpil IoC te vin disponib. Jaden enpòtan ki modifye pa otè yo enkli:
- Kle rejis AppX chanje (gade IoCs)
- fisèl kodaj mutex ("def", "abc", "ghi")
- nimewo pò
Finalman, tout nouvo vèsyon yo analize gen nouvo C&C ki nan lis nan seksyon IoCs.
Jwenn
OceanLotus kontinye devlope. Gwoup cyber la konsantre sou rafine ak elaji zouti ak appâts. Otè degize chaj move lè l sèvi avèk dokiman ki atire atansyon ki gen sijè ki gen rapò ak viktim yo gen entansyon. Yo devlope nouvo plan epi tou itilize zouti ki disponib piblikman, tankou eksplwatasyon Editè Ekwasyon an. Anplis, yo ap amelyore zouti pou redwi kantite zafè ki rete sou machin viktim yo, kidonk diminye chans pou deteksyon pa lojisyèl antivirus.
Endikatè konpwomi
Endikatè konpwomi osi byen ke MITRE ATT&CK atribi yo disponib и .
Sous: www.habr.com
