Այս գրառման մեջ մենք ձեզ կպատմենք, թե ինչպես է OceanLotus կիբեր խումբը (APT32 և APT-C-00) վերջերս օգտագործել հանրային հասանելի շահագործումներից մեկը: , հիշողության խոցելիությունը Microsoft Office-ում և ինչպես է խմբի չարամիտ ծրագիրը կայունության ապահովում վտանգված համակարգերում՝ առանց հետք թողնելու: Հաջորդը, մենք նկարագրելու ենք, թե ինչպես է խումբը 2019 թվականի սկզբից օգտագործում ինքնաարտահանվող արխիվները՝ կոդը գործարկելու համար:
OceanLotus-ը մասնագիտացած է կիբեր լրտեսության մեջ, որի առաջնահերթ թիրախներն են Հարավարևելյան Ասիայի երկրները: Հարձակվողները կեղծում են փաստաթղթեր, որոնք գրավում են պոտենցիալ զոհերի ուշադրությունը, որպեսզի համոզեն նրանց կատարել թիկունքի դուռը, ինչպես նաև աշխատում են գործիքների մշակման վրա: Honeypot-ներ ստեղծելու համար օգտագործվող մեթոդները տարբեր են տարբեր հարձակումներից՝ սկսած «կրկնակի ընդլայնման» ֆայլերից, ինքնաարտահանվող արխիվներից, մակրոներով փաստաթղթերից մինչև հայտնի շահագործում:
Օգտագործելով շահագործում Microsoft Equation Editor-ում
2018-ի կեսերին OceanLotus-ը արշավ իրականացրեց՝ օգտագործելով CVE-2017-11882 խոցելիությունը: Կիբեր խմբի վնասակար փաստաթղթերից մեկը վերլուծվել է 360 սպառնալիքների հետախուզական կենտրոնի մասնագետների կողմից (), ներառյալ շահագործման մանրամասն նկարագրությունը: Ստորև բերված գրառումը պարունակում է նման վնասակար փաստաթղթի ակնարկ:
Առաջին փուլը
Փաստաթուղթը FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) նման է վերը նշված ուսումնասիրության մեջ նշվածին: Հետաքրքիր է, քանի որ այն ուղղված է Կամբոջայի քաղաքականությամբ հետաքրքրվող օգտատերերին (CNRP - Կամբոջայի ազգային փրկության կուսակցություն, լուծարվել է 2017 թվականի վերջին): Չնայած .doc ընդլայնմանը, փաստաթուղթը RTF ձևաչափով է (տես ստորև նկարը), պարունակում է աղբի կոդ և նույնպես աղավաղված է:
Նկար 1. «Աղբ» RTF-ում
Թեև կան խեղաթյուրված տարրեր, Word-ը հաջողությամբ բացում է այս RTF ֆայլը: Ինչպես տեսնում եք Նկար 2-ում, կա EQNOLEFILEHDR կառուցվածք՝ օֆսեթում 0xC00, որին հաջորդում է MTEF վերնագիրը, իսկ հետո տառատեսակի համար MTEF մուտքագրում (Նկար 3):
Նկար 2. FONT մուտքագրման արժեքները
Նկար 3.
Հնարավոր արտահոսք դաշտում անուն, քանի որ պատճենելուց առաջ դրա չափը չի ստուգվում։ Շատ երկար անունը առաջացնում է խոցելիություն: Ինչպես կարող եք տեսնել RTF ֆայլի բովանդակությունից (օֆսեթ 0xC26 Նկար 2-ում), բուֆերը լցված է shellcode-ով, որին հաջորդում է կեղծ հրամանը (0x90) և վերադարձի հասցեն 0x402114. Հասցեն երկխոսության տարր է EQNEDT32.exe, նշելով հրահանգները RET. Սա հանգեցնում է նրան, որ EIP-ը ցույց է տալիս դաշտի սկիզբը անունshellcode պարունակող:
Նկար 4. Exploit shellcode-ի սկիզբ
Հասցե 0x45BD3C պահպանում է փոփոխականը, որն անջատված է, մինչև այն հասնի ընթացիկ բեռնված կառուցվածքի ցուցիչին MTEFData. Shellcode-ի մնացած մասը այստեղ է:
Shellcode-ի նպատակն է կատարել բաց փաստաթղթում ներկառուցված shellcode-ի երկրորդ մասը: Բնօրինակ shellcode-ը նախ փորձում է գտնել բաց փաստաթղթի ֆայլի նկարագրիչը՝ կրկնելով համակարգի բոլոր նկարագրիչները (NtQuerySystemInformation փաստարկով SystemExtendedHandleInformation) և ստուգել, թե արդյոք դրանք համընկնում են PID նկարագրիչ և PID գործընթացը WinWord և արդյոք փաստաթուղթը բացվել է մուտքի դիմակով, 0x12019F.
Հաստատելու համար, որ ճիշտ բռնիչը գտնվել է (և ոչ թե մեկ այլ բաց փաստաթղթի բռնիչը), ֆայլի բովանդակությունը ցուցադրվում է ֆունկցիայի միջոցով. CreateFileMappingև shellcode-ը ստուգում է, թե արդյոք փաստաթղթի վերջին չորս բայթերը համընկնում են:yyyy«(Ձվի որսի մեթոդ). Համընկնումը գտնելուց հետո փաստաթուղթը պատճենվում է ժամանակավոր թղթապանակում (GetTempPath) Ինչպես ole.dll. Այնուհետև ընթերցվում են փաստաթղթի վերջին 12 բայթերը:
Նկար 5. Փաստաթղթերի նշիչների վերջը
32-բիթանոց արժեք մարկերների միջև AABBCCDD и yyyy հաջորդ shellcode-ի օֆսեթն է: Այն կոչվում է օգտագործելով ֆունկցիան CreateThread. Արդյունահանվել է նույն shellcode-ը, որն ավելի վաղ օգտագործվում էր OceanLotus խմբի կողմից: , որը մենք թողարկեցինք 2018 թվականի մարտին, դեռ աշխատում է երկրորդ փուլի աղբավայրի համար։
Երկրորդ փուլը
Բաղադրիչների հեռացում
Ֆայլերի և գրացուցակների անուններն ընտրվում են դինամիկ կերպով: Կոդը պատահականորեն ընտրում է գործարկվող կամ DLL ֆայլի անունը C:Windowssystem32. Այնուհետև այն հարցում է կատարում իր ռեսուրսներին և առբերում է դաշտը FileDescription օգտագործել որպես թղթապանակի անուն: Եթե դա չի աշխատում, կոդը պատահականորեն ընտրում է թղթապանակի անունը դիրեկտորիաներից %ProgramFiles% կամ C:Windows (GetWindowsDirectoryW-ից): Այն խուսափում է անուն օգտագործելուց, որը կարող է հակասել գոյություն ունեցող ֆայլերի հետ և երաշխավորում է, որ այն չի պարունակում հետևյալ բառերը. windows, Microsoft, desktop, system, system32 կամ syswow64. Եթե գրացուցակը արդեն գոյություն ունի, անվանմանը կցվում է «NLS_{6 նիշ}»:
ռեսուրսը 0x102 վերլուծվում է և ֆայլերը թափվում են %ProgramFiles% կամ %AppData%, պատահականորեն ընտրված պանակ: Ստեղծման ժամանակը փոխվել է՝ ունենալով նույն արժեքները, ինչ kernel32.dll.
Օրինակ, ահա թղթապանակը և ֆայլերի ցանկը, որոնք ստեղծվել են՝ ընտրելով գործարկվողը C:Windowssystem32TCPSVCS.exe որպես տվյալների աղբյուր։
Նկար 6. Տարբեր բաղադրիչների արդյունահանում
Ռեսուրսների կառուցվածքը 0x102 մի կաթիլային բավականին բարդ է: Մի խոսքով, այն պարունակում է.
- Ֆայլերի անուններ
- Ֆայլի չափը և բովանդակությունը
- Սեղմման ձևաչափ (COMPRESSION_FORMAT_LZNT1, որն օգտագործվում է ֆունկցիայի կողմից RtlDecompressBuffer)
Առաջին ֆայլը վերակայվում է որպես TCPSVCS.exe, որը օրինական է AcroTranscoder.exe (ըստ FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
Դուք կարող եք նկատել, որ որոշ DLL ֆայլեր ավելի քան 11 ՄԲ են: Դա պայմանավորված է նրանով, որ գործարկվող ֆայլի ներսում տեղադրված է պատահական տվյալների մեծ հարակից բուֆեր: Հնարավոր է, որ սա անվտանգության որոշ արտադրանքների կողմից հայտնաբերումից խուսափելու միջոց է:
Համառության ապահովում
ռեսուրսը 0x101 կաթիլային մեջ պարունակում է երկու 32-բիթանոց ամբողջ թիվ, որոնք նշում են, թե ինչպես պետք է ապահովվի կայունությունը: Առաջինի արժեքը ցույց է տալիս, թե ինչպես է չարամիտ ծրագիրը պահպանվելու առանց ադմինիստրատորի իրավունքների:
Աղյուսակ 1. Համառության մեխանիզմ առանց ադմինիստրատորի իրավունքների
Երկրորդ ամբողջ թվի արժեքը ցույց է տալիս, թե ինչպես պետք է չարամիտ ծրագիրը կայունության հասնի ադմինիստրատորի իրավունքներով գործարկվելիս:
Աղյուսակ 2. Ադմինիստրատորի իրավունքներով կայունության մեխանիզմ
Ծառայության անվանումը ֆայլի անունն է առանց ընդլայնման. ցուցադրվող անունը թղթապանակի անունն է, բայց եթե այն արդեն գոյություն ունի, դրան կցվում է « տողըRevision 1» (թիվն ավելանում է, մինչև չօգտագործված անուն գտնվի): Օպերատորները համոզվել են, որ ծառայության միջոցով կայունությունը կայուն է. ձախողման դեպքում ծառայությունը պետք է վերագործարկվի 1 վայրկյան հետո: Հետո արժեքը WOW64 Նոր ծառայության ռեեստրի բանալին դրված է 4-ի վրա, ինչը ցույց է տալիս, որ այն 32-բիթանոց ծառայություն է:
Պլանավորված առաջադրանքը ստեղծվում է մի քանի COM ինտերֆեյսների միջոցով. ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. Ըստ էության, չարամիտ ծրագիրը ստեղծում է թաքնված առաջադրանք, սահմանում է հաշվի տեղեկատվությունը ընթացիկ օգտագործողի կամ ադմինիստրատորի տեղեկատվության հետ միասին, այնուհետև սահմանում է գործարկիչը:
Սա ամենօրյա առաջադրանք է՝ 24 ժամ տևողությամբ և 10 րոպեանոց երկու կատարման միջև ընդմիջումներով, ինչը նշանակում է, որ այն շարունակաբար կաշխատի։
Վնասակար բիթ
Մեր օրինակում գործարկվող ֆայլը TCPSVCS.exe (AcroTranscoder.exe) օրինական ծրագրաշար է, որը բեռնում է DLL-ները, որոնք վերակայվում են դրա հետ միասին: Այս դեպքում դա հետաքրքրություն է ներկայացնում Flash Video Extension.dll.
Դրա գործառույթը DLLMain պարզապես կանչում է մեկ այլ գործառույթ: Որոշ մշուշոտ պրեդիկատներ կան.
Գծապատկեր 7. Մշուշոտ պրեդիկատներ
Այս ապակողմնորոշիչ ստուգումներից հետո կոդը ստանում է բաժին .text ֆայլը TCPSVCS.exe, փոխում է իր պաշտպանությունը PAGE_EXECUTE_READWRITE և վերաշարադրում է այն՝ ավելացնելով կեղծ հրահանգներ.
Նկար 8. Հրահանգների հաջորդականությունը
Վերջում գործառույթի հասցեին FLVCore::Uninitialize(void), արտահանվել է Flash Video Extension.dll, հրահանգը ավելացված է CALL. Սա նշանակում է, որ վնասակար DLL-ի բեռնումից հետո, երբ գործարկման ժամանակը զանգում է WinMain в TCPSVCS.exe, հրահանգի ցուցիչը ցույց կտա NOP-ին՝ պատճառելով FLVCore::Uninitialize(void), հաջորդ փուլ.
Ֆունկցիան պարզապես ստեղծում է մուտեքս՝ սկսած {181C8480-A975-411C-AB0A-630DB8B0A221}որին հաջորդում է ընթացիկ օգտանունը: Այնուհետև այն կարդում է թափված *.db3 ֆայլը, որը պարունակում է դիրքից անկախ կոդ և օգտագործում CreateThread բովանդակությունը կատարելու համար:
*.db3 ֆայլի բովանդակությունը այն shellcode-ն է, որը սովորաբար օգտագործում է OceanLotus խումբը: Մենք կրկին հաջողությամբ հանեցինք դրա օգտակար բեռը՝ օգտագործելով մեր հրապարակած էմուլյատորի սցենարը .
Սցենարը քաղում է վերջին փուլը։ Այս բաղադրիչը հետին դուռ է, որը մենք արդեն վերլուծել ենք . Սա կարող է որոշվել GUID-ի կողմից {A96B020F-0000-466F-A96D-A91BBF8EAC96} երկուական ֆայլ: Չարամիտ ծրագրի կազմաձևումը դեռևս գաղտնագրված է PE ռեսուրսում: Այն ունի մոտավորապես նույն կոնֆիգուրացիան, բայց C&C սերվերները տարբերվում են նախորդներից.
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
OceanLotus-ի թիմը կրկին ցուցադրում է տարբեր տեխնիկայի համադրություն՝ հայտնաբերումից խուսափելու համար: Նրանք վերադարձել են վարակի գործընթացի «զտված» դիագրամով։ Ընտրելով պատահական անուններ և լրացնելով գործադիրները պատահական տվյալներով՝ նրանք նվազեցնում են հուսալի IoC-ների թիվը (հեշերի և ֆայլերի անունների հիման վրա): Ավելին, երրորդ կողմի DLL բեռնման օգտագործման շնորհիվ հարձակվողներին միայն անհրաժեշտ է հեռացնել օրինական երկուականը AcroTranscoder.
Արխիվներ ինքնուրույն արդյունահանվող
RTF ֆայլերից հետո խումբը տեղափոխվեց ինքնաարտահանվող (SFX) արխիվներ՝ ընդհանուր փաստաթղթերի պատկերակներով՝ օգտվողին ավելի շփոթեցնելու համար: Threatbook-ը գրել է այս մասին (). Գործարկումից հետո ինքնաարտահանվող RAR ֆայլերը հանվում են, և գործարկվում են .ocx ընդլայնմամբ DLL-ները, որոնց վերջնական բեռնվածությունը նախկինում փաստաթղթավորված է: {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. 2019 թվականի հունվարի կեսերից OceanLotus-ը կրկին օգտագործում է այս տեխնիկան, սակայն ժամանակի ընթացքում փոխում է որոշ կոնֆիգուրացիաներ: Այս բաժնում մենք կխոսենք տեխնիկայի և փոփոխությունների մասին:
Գայթակղիչի ստեղծում
Փաստաթուղթը THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) առաջին անգամ հայտնաբերվել է 2018 թ. Այս SFX ֆայլը ստեղծվել է իմաստուն - նկարագրության մեջ (Տեղեկատվության տարբերակի մասին) ասում է, որ սա JPEG պատկեր է: SFX սկրիպտն ունի հետևյալ տեսքը.
Նկար 9. SFX հրամաններ
Չարամիտ ծրագիրը վերակայվում է {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), ինչպես նաև նկար 2018 thich thong lac.jpg.
Խարդախի պատկերն այսպիսի տեսք ունի.
Նկար 10. Խաբեբա պատկեր
Դուք կարող եք նկատել, որ SFX սցենարի առաջին երկու տողերը երկու անգամ կանչում են OCX ֆայլը, բայց դա սխալ չէ:
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
OCX ֆայլի կառավարման հոսքը շատ նման է OceanLotus-ի այլ բաղադրիչներին՝ բազմաթիվ հրամանների հաջորդականություններ JZ/JNZ и PUSH/RET, հերթափոխով աղբի ծածկագրով։
Նկար 11. Մշուշոտ ծածկագիր
Անպետք կոդը զտելուց հետո արտահանեք DllRegisterServer, կանչեց regsvr32.exe, Ինչպես նշված է հետեւյալում:
Նկար 12. Տեղադրողի հիմնական կոդը
Հիմնականում առաջին զանգի ժամանակ DllRegisterServer արտահանման հավաքածուների ռեեստրի արժեքը HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model DLL-ում կոդավորված օֆսեթի համար (0x10001DE0).
Երբ ֆունկցիան կանչվում է երկրորդ անգամ, այն կարդում է նույն արժեքը և կատարում այդ հասցեում: Այստեղից ընթերցվում և կատարվում են ռեսուրսը և շատ գործողություններ RAM-ում:
Shellcode-ը նույն PE բեռնիչն է, որն օգտագործվում էր OceanLotus-ի նախորդ արշավներում: Այն կարող է ընդօրինակվել օգտագործելով . Վերջում նա զրոյացնում է db293b825dcc419ba7dc2c49fa2757ee.dll, բեռնում է այն հիշողության մեջ և կատարում DllEntry.
DLL-ն հանում է իր ռեսուրսի բովանդակությունը, վերծանում է (AES-256-CBC) և ապասեղմում (LZMA): Ռեսուրսն ունի հատուկ ձևաչափ, որը հեշտ է ապակոմպիլյացիայի ենթարկվել:
Նկար 13. Տեղադրիչի կազմաձևման կառուցվածքը (KaitaiStruct Visualizer)
Կազմաձևը հստակորեն նշված է. կախված արտոնության մակարդակից, երկուական տվյալները կգրվեն. %appdata%IntellogsBackgroundUploadTask.cpl կամ %windir%System32BackgroundUploadTask.cpl (Կամ SysWOW64 64-բիթանոց համակարգերի համար):
Հետագա համառությունն ապահովվում է անվան հետ առաջադրանք ստեղծելով BackgroundUploadTask[junk].jobՈրտեղ [junk] ներկայացնում է բայթերի մի շարք 0x9D и 0xA0.
Առաջադրանքի հավելվածի անվանումը %windir%System32control.exe, իսկ պարամետրի արժեքը ներբեռնված երկուական ֆայլի ուղին է։ Թաքնված առաջադրանքն աշխատում է ամեն օր:
Կառուցվածքային առումով, CPL ֆայլը ներքին անվանումով DLL է ac8e06de0a6c4483af9837d96504127e.dll, որը արտահանում է ֆունկցիա CPlApplet. Այս ֆայլը վերծանում է իր միակ ռեսուրսը {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, ապա բեռնում է այս DLL-ը և կանչում է դրա միակ արտահանումը DllEntry.
Backdoor-ի կազմաձևման ֆայլ
Backdoor-ի կոնֆիգուրացիան կոդավորված է և ներդրված է իր ռեսուրսներում: Կազմաձևման ֆայլի կառուցվածքը շատ նման է նախորդին:
Նկար 14. Backdoor-ի կազմաձևման կառուցվածքը (KaitaiStruct Visualizer)
Չնայած կառուցվածքը նման է, դաշտի արժեքներից շատերը թարմացվել են ցույց տրվածներից .
Երկուական զանգվածի առաջին տարրը պարունակում է DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), . Բայց քանի որ արտահանման անունը հանվել է երկուականից, հեշերը չեն համընկնում:
Լրացուցիչ հետազոտություն
Նմուշներ հավաքելիս մենք նկատեցինք որոշ բնութագրեր. Հենց նոր նկարագրված նմուշը հայտնվել է 2018 թվականի հուլիսի մոտ, իսկ դրա նման այլ նմուշներ հայտնվել են դեռևս 2019 թվականի հունվարի կեսերից մինչև փետրվարի սկիզբը: SFX արխիվն օգտագործվել է որպես վարակի վեկտոր՝ թողնելով օրինական խաբեության փաստաթուղթ և վնասակար OSX ֆայլ:
Թեև OceanLotus-ն օգտագործում է կեղծ ժամանակային դրոշմանիշներ, մենք նկատեցինք, որ SFX և OCX ֆայլերի ժամանակային դրոշմանիշերը միշտ նույնն են (0x57B0C36A (08/14/2016 @ 7:15 UTC) և 0x498BE80F (02/06/2009 @ 7:34 am UTC) համապատասխանաբար): Սա հավանաբար ցույց է տալիս, որ հեղինակներն ունեն ինչ-որ «դիզայներ», որն օգտագործում է նույն ձևանմուշները և պարզապես փոխում է որոշ բնութագրեր։
Փաստաթղթերի շարքում, որոնք մենք ուսումնասիրել ենք 2018 թվականի սկզբից, կան տարբեր անուններ, որոնք նշում են հարձակվողներին հետաքրքրող երկրները.
— Կամբոջայի լրատվամիջոցների նոր կոնտակտային տվյալները (New).xls.exe
— 李建香 (个人简历).exe (CV-ի կեղծ pdf փաստաթուղթ)
— արձագանք, հանրահավաք ԱՄՆ-ում հուլիսի 28-29-ը, 2018.exe
Քանի որ հետևի դուռը հայտնաբերվեց {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll և մի քանի հետազոտողների կողմից դրա վերլուծության հրապարակման արդյունքում մենք նկատեցինք որոշ փոփոխություններ չարամիտ կազմաձևման տվյալների մեջ:
Նախ, հեղինակները սկսեցին հեռացնել անունները օգնական DLL-ներից (DNSprov.dll և երկու տարբերակ HttpProv.dll) Այնուհետև օպերատորները դադարեցրին երրորդ DLL-ի փաթեթավորումը (երկրորդ տարբերակը HttpProv.dll), ընտրելով զետեղել միայն մեկը:
Երկրորդ, հետնադռների կոնֆիգուրացիայի շատ դաշտեր փոխվեցին, որոնք, հավանաբար, կխուսափեն հայտնաբերելուց, քանի որ շատ IoC-ներ հասանելի դարձան: Հեղինակների կողմից փոփոխված կարևոր դաշտերը ներառում են.
- AppX ռեեստրի բանալին փոխվել է (տես IoCs)
- mutex կոդավորման տող («def», «abc», «ghi»)
- նավահանգստի համարը
Վերջապես, բոլոր վերլուծված նոր տարբերակներն ունեն նոր C&C-ներ, որոնք նշված են IoCs բաժնում:
Արդյունքները
OceanLotus-ը շարունակում է զարգանալ: Կիբեր խումբը կենտրոնացած է գործիքների և խաբեբաների մշակման և ընդլայնման վրա: Հեղինակները քողարկում են վնասակար բեռները՝ օգտագործելով ուշադրություն գրավող փաստաթղթեր, որոնց թեման վերաբերում է նախատեսված զոհերին: Նրանք մշակում են նոր սխեմաներ, ինչպես նաև օգտագործում են հանրությանը հասանելի գործիքներ, ինչպիսիք են Equation Editor-ի շահագործումը: Ավելին, նրանք կատարելագործում են գործիքները՝ նվազեցնելու զոհերի մեքենաների վրա մնացած արտեֆակտների քանակը՝ դրանով իսկ նվազեցնելով հակավիրուսային ծրագրային ապահովման միջոցով հայտնաբերելու հնարավորությունը:
Փոխզիջման ցուցանիշներ
Հասանելի են փոխզիջման ցուցանիշները, ինչպես նաև MITER ATT&CK ատրիբուտները и .
Source: www.habr.com