ESET：OceanLotusサイバーグループ向けの新しいバックドア配信スキーム

この投稿では、サイバー グループ OceanLotus (APT32 および APT-C-00) が最近、公開されているエクスプロイトの XNUMX つをどのように使用したかを説明します。 CVE-2017-11882、Microsoft Office のメモリ破損の脆弱性、およびこのグループのマルウェアがどのように痕跡を残さずに侵害されたシステム上で永続化するのかについて説明します。 次に、2019 年の初め以来、このグループがコードを実行するために自己解凍アーカイブをどのように使用しているかについて説明します。

OceanLotus はサイバースパイ活動を専門とし、優先ターゲットは東南アジア諸国です。 攻撃者は、潜在的な被害者の注意を引きつけてバックドアを実行するよう説得する文書を偽造し、ツールの開発にも取り組んでいます。 ハニーポットの作成に使用される手法は、「二重拡張子」ファイル、自己解凍アーカイブ、マクロを含むドキュメントから既知のエクスプロイトまで、攻撃によって異なります。

Microsoft 数式エディターでエクスプロイトを使用する

2018 年半ば、OceanLotus は CVE-2017-11882 の脆弱性を悪用したキャンペーンを実施しました。 サイバー グループの悪意のある文書の 360 つが、XNUMX 脅威インテリジェンス センターの専門家によって分析されました (中国語での研究)、エクスプロイトの詳細な説明が含まれます。 以下の投稿には、このような悪意のある文書の概要が含まれています。

第1ステージ

ドキュメント FW Report on demonstration of former CNRP in Republic of Korea.doc （SHA-1： D1357B284C951470066AAA7A8228190B88A5C7C3) は上記の研究で述べたものと同様です。 カンボジア政治（CNRP - カンボジア救国党、2017年末に解散）に興味のあるユーザーを対象としているので興味深い。 .doc 拡張子にもかかわらず、ドキュメントは RTF 形式 (下の図を参照) で、ガベージ コードが含まれており、また歪んでいます。

図 1. RTF の「ガベージ」

文字化けした要素があっても、Word はこの RTF ファイルを正常に開きます。 図 2 からわかるように、オフセット 0xC00 に EQNOLEFILEHDR 構造があり、その後に MTEF ヘッダー、そしてフォントの MTEF エントリ (図 3) が続きます。

図 2. FONT エントリの値

図3。 FONT記録フォーマット

フィールドでのオーバーフローの可能性 名コピーする前にサイズがチェックされないためです。 長すぎる名前は脆弱性を引き起こします。 RTF ファイルの内容 (図 0 のオフセット 26xC2) からわかるように、バッファーにはシェルコードとそれに続くダミー コマンド (0x90）および返送先住所 0x402114。 アドレスはダイアログ要素です。 EQNEDT32.exe、指示を示します RET。 これにより、EIP はフィールドの先頭を指すようになります。 名シェルコードが含まれています。

図 4. エクスプロイト シェルコードの始まり

アドレス 0x45BD3C 現在ロードされている構造体へのポインターに到達するまで逆参照される変数を格納します。 MTEFData。 残りのシェルコードはここにあります。

シェルコードの目的は、開いているドキュメントに埋め込まれているシェルコードの XNUMX 番目の部分を実行することです。 元のシェルコードは、最初にすべてのシステム記述子を反復処理して、開いているドキュメントのファイル記述子を見つけようとします (NtQuerySystemInformation 引数付き SystemExtendedHandleInformation) 一致するかどうかを確認します PID 記述子と PID プロセス WinWord ドキュメントがアクセスマスクで開かれたかどうか - 0x12019F.

正しいハンドルが見つかったこと (開いている別のドキュメントへのハンドルではないこと) を確認するために、関数を使用してファイルの内容が表示されます。 CreateFileMapping、シェルコードはドキュメントの最後の XNUMX バイトが一致するかどうかをチェックします。yyyy」（エッグハンティング法）。 一致するものが見つかると、ドキュメントは一時フォルダー (GetTempPath） どうやって ole.dll。 次に、ドキュメントの最後の 12 バイトが読み取られます。

図 5. 文書の終わりのマーカー

マーカー間の 32 ビット値 AABBCCDD и yyyy 次のシェルコードのオフセットです。 関数を使用して呼び出されます CreateThread。 以前に OceanLotus グループによって使用されていたものと同じシェルコードを抽出しました。 Pythonエミュレーションスクリプト2018 年 XNUMX 月にリリースした は、現在でも第 XNUMX 段階のダンプとして機能します。

第2期

コンポーネントの削除

ファイル名とディレクトリ名は動的に選択されます。 コードは、実行可能ファイルまたは DLL ファイルの名前をランダムに選択します。 C:Windowssystem32。 次に、そのリソースにリクエストを送信し、フィールドを取得します。 FileDescription フォルダー名として使用します。 これが機能しない場合、コードはディレクトリからフォルダー名をランダムに選択します。 %ProgramFiles% または C:Windows (GetWindowsDirectoryW より)。 既存のファイルと競合する可能性のある名前の使用を回避し、次の単語が含まれないようにします。 windows, Microsoft, desktop, system, system32 または syswow64。 ディレクトリがすでに存在する場合は、名前に「NLS_{6 文字}」が追加されます。

リソース 0x102 が分析され、ファイルがダンプされます %ProgramFiles% または %AppData%、ランダムに選択されたフォルダーに保存されます。 作成時間を同じ値になるように変更しました。 kernel32.dll.

たとえば、実行可能ファイルを選択して作成されたフォルダーとファイルのリストは次のとおりです。 C:Windowssystem32TCPSVCS.exe データソースとして。

図 6. さまざまなコンポーネントの抽出

リソース構造 0x102 スポイトの場合は非常に複雑です。 一言で言えば、次のものが含まれます。
— ファイル名
— ファイルサイズと内容
— 圧縮形式 (COMPRESSION_FORMAT_LZNT1、関数によって使用されます RtlDecompressBuffer)

最初のファイルは次のようにリセットされます TCPSVCS.exe、これは合法です AcroTranscoder.exe （によると FileDescription、SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).

一部の DLL ファイルは 11 MB を超えていることに気づいたかもしれません。 これは、ランダム データの大きな連続バッファが実行可能ファイル内に配置されるためです。 これは、一部のセキュリティ製品による検出を回避する方法である可能性があります。

永続性の確保

リソース 0x101 ドロッパーには、永続性を提供する方法を指定する 32 つの XNUMX ビット整数が含まれています。 最初の値は、マルウェアが管理者権限なしでどのように存続するかを指定します。

表 1. 管理者権限のない永続化メカニズム

XNUMX 番目の整数の値は、管理者権限で実行するときにマルウェアが持続性を達成する方法を指定します。

表 2. 管理者権限を持つ永続化メカニズム

サービス名は拡張子のないファイル名です。 表示名はフォルダーの名前ですが、フォルダーがすでに存在する場合は、文字列「」が追加されます。Revision 1” (未使用の名前が見つかるまで番号が増加します)。 オペレーターは、サービスの永続性が堅牢であることを確認しました。障害が発生した場合は、サービスは 1 秒後に再起動される必要があります。 次に、値 WOW64 新しいサービスのレジストリ キーは 4 に設定され、これが 32 ビット サービスであることを示します。

スケジュールされたタスクは、いくつかの COM インターフェイスを通じて作成されます。 ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler。 基本的に、マルウェアは隠しタスクを作成し、現在のユーザーまたは管理者の情報とともにアカウント情報を設定し、トリガーを設定します。

これは毎日のタスクで、期間は 24 時間、10 回の実行間隔は XNUMX 分です。つまり、継続的に実行されます。

悪意のあるビット

この例では、実行可能ファイル TCPSVCS.exe (AcroTranscoder.exe) は、一緒にリセットされる DLL をロードする正規のソフトウェアです。 この場合、興味深いのは、 Flash Video Extension.dll.

その機能 DLLMain 別の関数を呼び出すだけです。 いくつかのあいまいな述語が存在します。

図 7. ファジー述語

これらの誤解を招くチェックの後、コードにはセクションが追加されます。 .text ファイル TCPSVCS.exe、防御力を次のように変更します。 PAGE_EXECUTE_READWRITE ダミー命令を追加して書き換えます。

図 8. 命令のシーケンス

最後に関数アドレスへ FLVCore::Uninitialize(void)、輸出された Flash Video Extension.dll、指示が追加されます CALL。 これは、悪意のある DLL がロードされた後、ランタイムが呼び出したときに WinMain в TCPSVCS.exe、命令ポインタが NOP を指すことになり、 FLVCore::Uninitialize(void)、 次のステージ。

この関数は単純に次で始まるミューテックスを作成します。 {181C8480-A975-411C-AB0A-630DB8B0A221}その後に現在のユーザー名が続きます。 次に、位置に依存しないコードを含むダンプされた *.db3 ファイルを読み取り、 CreateThread コンテンツを実行します。

*.db3 ファイルの内容は、OceanLotus グループが通常使用するシェルコードです。 公開したエミュレータ スクリプトを使用して、ペイロードを再び正常に解凍しました。 GitHubで.

スクリプトは最終段階を抽出します。 このコンポーネントはバックドアであり、すでに分析しました。 以前の OceanLotus 研究。 これは GUID によって判断できます。 {A96B020F-0000-466F-A96D-A91BBF8EAC96} バイナリーファイル。 マルウェア構成は PE リソース内で引き続き暗号化されます。 構成はほぼ同じですが、C&C サーバーは以前のものとは異なります。

- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz

OceanLotus チームは、検出を回避するためのさまざまなテクニックの組み合わせを再度デモンストレーションします。 彼らは、感染プロセスの「洗練された」図を携えて戻ってきました。 ランダムな名前を選択し、実行可能ファイルにランダムなデータを埋め込むことで、(ハッシュとファイル名に基づく) 信頼できる IoC の数が減ります。 さらに、サードパーティの DLL ロードを使用しているため、攻撃者は正規のバイナリを削除するだけで済みます。 AcroTranscoder.

自己解凍アーカイブ

RTF ファイルの後、グループはユーザーをさらに混乱させるために、一般的なドキュメント アイコンを備えた自己解凍 (SFX) アーカイブに移行しました。 Threatbook はこれについて書いています (中国語のリンク）。 起動時に、自己解凍型 RAR ファイルがドロップされ、.ocx 拡張子の付いた DLL が実行されます。その最終ペイロードは以前に文書化されています。 {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll。 2019 年 XNUMX 月中旬以来、OceanLotus はこの技術を再利用していますが、時間の経過とともに一部の構成を変更しています。 このセクションでは、そのテクニックと変更点について説明します。

ルアーの作成

ドキュメント THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE （SHA-1： AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB）は2018年に初めて発見されました。 この SFX ファイルは賢明に作成されました - 説明 (バージョン情報) これは JPEG 画像であると表示されます。 SFX スクリプトは次のようになります。

図 9. SFX コマンド

マルウェアがリセットされる {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx （SHA-1： EFAC23B0E6395B1178BCF7086F72344B24C04DCC）、写真だけでなく 2018 thich thong lac.jpg.

おとり画像は次のようになります。

図 10. おとり画像

SFX スクリプトの最初の XNUMX 行で OCX ファイルを XNUMX 回呼び出していることに気づいたかもしれませんが、これはエラーではありません。

{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)

OCX ファイルの制御フローは、他の OceanLotus コンポーネントと非常に似ており、多くのコマンド シーケンスが使用されます。 JZ/JNZ и PUSH/RET、ガベージコードと交互になります。

図 11. 難読化されたコード

ジャンクコードを除外した後、エクスポートします DllRegisterServer、と呼ばれる regsvr32.exeこのようになります：

図 12. 基本的なインストーラー コード

基本的には最初の電話で DllRegisterServer エクスポートセットのレジストリ値 HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model DLL 内の暗号化されたオフセットの場合 (0x10001DE0).

関数が XNUMX 回目に呼び出されるとき、同じ値が読み取られ、そのアドレスで実行されます。 ここから、RAM 内のリソースと多くのアクションが読み取られて実行されます。

シェルコードは、過去の OceanLotus キャンペーンで使用されたものと同じ PE ローダーです。 を使用してエミュレートできます 私たちのスクリプト。 結局彼はリセットしてしまう db293b825dcc419ba7dc2c49fa2757ee.dll、それをメモリにロードして実行します DllEntry.

DLL はリソースの内容を抽出し、復号化 (AES-256-CBC) して圧縮解除 (LZMA) します。 リソースには、逆コンパイルしやすい特定の形式があります。

図 13. インストーラー構成構造 (KaitaiStruct Visualizer)

構成は明示的に指定されます。特権レベルに応じて、バイナリ データが書き込まれます。 %appdata%IntellogsBackgroundUploadTask.cpl または %windir%System32BackgroundUploadTask.cpl （または SysWOW64 64 ビット システムの場合)。

次の名前のタスクを作成することで、さらに永続性が確保されます。 BackgroundUploadTask[junk].jobどこ [junk] バイトのセットを表します 0x9D и 0xA0.

タスクアプリケーション名 %windir%System32control.exe、パラメータ値はダウンロードされたバイナリ ファイルへのパスです。 非表示のタスクは毎日実行されます。

構造的には、CPL ファイルは内部名を持つ DLL です。 ac8e06de0a6c4483af9837d96504127e.dll、関数をエクスポートします CPlApplet。 このファイルはその唯一のリソースを復号化します {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll次に、この DLL をロードし、その唯一のエクスポートを呼び出します。 DllEntry.

バックドア設定ファイル

バックドア設定は暗号化され、そのリソースに埋め込まれます。 構成ファイルの構造は、前のものと非常によく似ています。

図14. バックドア構成構造（KaitaiStruct Visualizer）

構造は似ていますが、フィールド値の多くは、図に示したものから更新されています。 私たちの古いレポート.

バイナリ配列の最初の要素には DLL (HttpProv.dll MD5： 2559738D1BD4A999126F900C7357B759), テンセントによって特定された。 ただし、エクスポート名がバイナリから削除されているため、ハッシュは一致しません。

追加の研究

サンプルを収集しているときに、いくつかの特徴に気づきました。 先ほど説明した標本は 2018 年 2019 月頃に出現し、同様の個体も最近では XNUMX 年 XNUMX 月中旬から XNUMX 月初旬に出現しました。 SFX アーカイブは感染ベクトルとして使用され、正規のおとりドキュメントと悪意のある OSX ファイルが投下されました。

OceanLotus は偽のタイムスタンプを使用しますが、SFX ファイルと OCX ファイルのタイムスタンプは常に同じであることに気付きました (0x57B0C36A (08 年 14 月 2016 日 @ 午後 7 時 15 分 UTC) および 0x498BE80F (02 年 06 月 2009 日 @ 7:34am UTC) それぞれ)。 これはおそらく、作成者に、同じテンプレートを使用し、いくつかの特性を変更するだけの、ある種の「デザイナー」がいることを示しています。

2018 年の初めから私たちが調査した文書の中には、攻撃者が関心を寄せている国を示すさまざまな名前があります。

— カンボジアメディアの新しい連絡先情報(新規).xls.exe
— 李建香 (个人简历).exe (履歴書の偽の PDF ドキュメント)
— フィードバック、28 年 29 月 2018 ～ XNUMX 日の米国ラリー.exe

バックドアが発見されてから {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll そして数人の研究者によるその分析の公開により、マルウェア構成データにいくつかの変化が観察されました。

まず、作成者はヘルパー DLL から名前を削除し始めました (DNSprov.dll そしてXNUMXつのバージョン HttpProv.dll）。 その後、オペレーターは XNUMX 番目の DLL (XNUMX 番目のバージョン) のパッケージ化を中止しました。 HttpProv.dll)、XNUMX つだけ埋め込むことを選択します。

第 XNUMX に、多くの IoC が利用可能になるにつれて、多くのバックドア構成フィールドが変更され、検出を回避する可能性があります。 作成者によって変更された重要なフィールドには次のものがあります。

• AppX レジストリ キーが変更されました (IoC を参照)
• ミューテックスエンコーディング文字列 ("def"、"abc"、"ghi")
• ポート番号

最後に、分析されたすべての新しいバージョンには、IoC セクションに新しい C&C がリストされています。

所見

OceanLotus は開発を続けています。 このサイバー グループは、ツールとデコイの改良と拡張に重点を置いています。 作成者は、対象となる被害者に関連するトピックを含む注目を集める文書を使用して、悪意のあるペイロードを偽装します。 彼らは新しいスキームを開発し、数式エディターのエクスプロイトなどの公的に入手可能なツールも使用します。 さらに、被害者のマシンに残るアーティファクトの数を減らすためのツールを改良し、それによってウイルス対策ソフトウェアによる検出の可能性を減らしています。

侵入の痕跡

侵害の指標と MITRE ATT&CK 属性が利用可能 Welivesecurity について и GitHubで.

出所： habr.com