ESET: OceanLotus 사이버 그룹을 위한 새로운 백도어 전달 체계

이 게시물에서는 사이버 그룹 OceanLotus(APT32 및 APT-C-00)가 최근 공개적으로 사용 가능한 익스플로잇 중 하나를 어떻게 사용했는지 알려드리겠습니다. CVE-2017-11882, Microsoft Office의 메모리 손상 취약점 및 그룹의 악성 코드가 손상된 시스템에서 흔적을 남기지 않고 지속성을 달성하는 방법을 설명합니다. 다음으로, 2019년 초부터 그룹이 자동 추출 아카이브를 사용하여 코드를 실행하는 방법에 대해 설명하겠습니다.

OceanLotus는 사이버 스파이 활동을 전문으로 하며 동남아시아 국가를 우선 목표로 삼고 있습니다. 공격자는 잠재적 피해자의 관심을 끌기 위해 문서를 위조하여 백도어를 실행하도록 설득하고 도구 개발에도 힘쓰고 있습니다. 허니팟을 생성하는 데 사용되는 방법은 "이중 확장" 파일, 자동 추출 아카이브, 매크로가 포함된 문서, 알려진 공격에 이르기까지 공격에 따라 다릅니다.

Microsoft Equation Editor에서 익스플로잇 사용

2018년 중반 OceanLotus는 CVE-2017-11882 취약점을 악용하는 캠페인을 실시했습니다. 해당 사이버그룹의 악성문서 중 하나를 360 위협정보센터(XNUMX Threat Intelligence Center) 전문가들이 분석했다.중국어로 연구하다), 익스플로잇에 대한 자세한 설명을 포함합니다. 아래 게시물에는 이러한 악성 문서에 대한 개요가 포함되어 있습니다.

첫 번째 단계

문서 FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) 위의 연구에서 언급한 것과 유사하다. 캄보디아 정치(CNRP - 캄보디아 국가구국당, 2017년 말 해산)에 관심 있는 사용자를 대상으로 한다는 점에서 흥미롭다. .doc 확장명에도 불구하고 문서는 RTF 형식(아래 그림 참조)이고 가비지 코드를 포함하며 왜곡됩니다.

그림 1. RTF의 "가비지"

잘못된 요소가 있더라도 Word에서는 이 RTF 파일을 성공적으로 엽니다. 그림 2에서 볼 수 있듯이 오프셋 0xC00에 EQNOLEFILEHDR 구조가 있고 그 뒤에 MTEF 헤더, 글꼴에 대한 MTEF 항목(그림 3)이 있습니다.

그림 2. FONT 항목 값

그림 3. FONT 기록 형식

현장에서 오버플로가 발생할 수 있음 name, 복사하기 전에 크기를 확인하지 않기 때문입니다. 이름이 너무 길면 취약점이 발생합니다. RTF 파일(그림 0의 오프셋 26xC2)의 내용에서 볼 수 있듯이 버퍼는 쉘코드와 더미 명령(0x90) 및 반송 주소 0x402114. 주소는 대화상자 요소입니다. EQNEDT32.exe, 지시사항을 나타냄 RET. 이로 인해 EIP가 필드의 시작을 가리킵니다. name쉘코드가 포함되어 있습니다.

그림 4. 익스플로잇 쉘코드의 시작

주소 0x45BD3C 현재 로드된 구조에 대한 포인터에 도달할 때까지 역참조되는 변수를 저장합니다. MTEFData. 나머지 쉘코드는 여기에 있습니다.

쉘코드의 목적은 열린 문서에 포함된 쉘코드의 두 번째 부분을 실행하는 것입니다. 원본 쉘코드는 먼저 모든 시스템 설명자를 반복하여 열려 있는 문서의 파일 설명자를 찾으려고 시도합니다(NtQuerySystemInformation 논쟁으로 SystemExtendedHandleInformation) 일치하는지 확인합니다. PID 설명자와 PID 방법 WinWord 문서가 액세스 마스크로 열렸는지 여부 - 0x12019F.

올바른 핸들이 발견되었는지(다른 열려 있는 문서에 대한 핸들이 아님) 확인하기 위해 파일의 내용이 다음 함수를 사용하여 표시됩니다. CreateFileMapping, 그리고 쉘코드는 문서의 마지막 XNUMX바이트가 "yyyy"(알 사냥 방법). 일치하는 항목이 발견되면 문서는 임시 폴더(GetTempPath) 어떻게 ole.dll. 그런 다음 문서의 마지막 12바이트를 읽습니다.

그림 5. 문서 마커 끝

마커 간 32비트 값 AABBCCDD и yyyy 다음 쉘코드의 오프셋입니다. 함수를 사용하여 호출됩니다. CreateThread. 이전에 OceanLotus 그룹에서 사용했던 것과 동일한 쉘코드를 추출했습니다. Python 에뮬레이션 스크립트2018년 XNUMX월에 출시된 는 여전히 XNUMX단계 덤프에 사용됩니다.

두 번째 단계

구성 요소 제거

파일 및 디렉터리 이름은 동적으로 선택됩니다. 코드는 실행 파일 또는 DLL 파일의 이름을 무작위로 선택합니다. C:Windowssystem32. 그런 다음 리소스에 요청하고 필드를 검색합니다. FileDescription 폴더 이름으로 사용합니다. 이것이 작동하지 않으면 코드는 디렉터리에서 폴더 이름을 무작위로 선택합니다. %ProgramFiles% 또는 C:Windows (GetWindowsDirectoryW에서). 기존 파일과 충돌할 수 있는 이름의 사용을 피하고 다음 단어가 포함되지 않도록 합니다. windows, Microsoft, desktop, system, system32 또는 syswow64. 디렉터리가 이미 존재하는 경우 이름에 "NLS_{6자}"가 추가됩니다.

자원 0x102 분석되고 파일이 덤프됩니다. %ProgramFiles% 또는 %AppData%, 무작위로 선택한 폴더로 이동합니다. 생성 시간이 와 동일한 값을 갖도록 변경되었습니다. kernel32.dll.

예를 들어 실행 파일을 선택하여 생성된 폴더와 파일 목록은 다음과 같습니다. C:Windowssystem32TCPSVCS.exe 데이터 소스로.

그림 6. 다양한 컴포넌트 추출

리소스 구조 0x102 점 적기에서는 매우 복잡합니다. 간단히 말해서 다음이 포함됩니다.
— 파일 이름
— 파일 크기 및 내용
— 압축 형식(COMPRESSION_FORMAT_LZNT1, 함수에서 사용됨 RtlDecompressBuffer)

첫 번째 파일은 다음과 같이 재설정됩니다. TCPSVCS.exe, 이는 합법적인 것입니다. AcroTranscoder.exe (에 따르면 FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).

일부 DLL 파일이 11MB보다 크다는 것을 알 수 있습니다. 이는 실행 파일 내부에 무작위 데이터로 구성된 대규모 연속 버퍼가 배치되기 때문입니다. 이는 일부 보안 제품의 탐지를 피하기 위한 방법일 수 있습니다.

지속성 보장

자원 0x101 드로퍼에는 지속성을 제공하는 방법을 지정하는 두 개의 32비트 정수가 포함되어 있습니다. 첫 번째 값은 관리자 권한 없이 맬웨어가 지속되는 방식을 지정합니다.

표 1. 관리자 권한이 없는 지속성 메커니즘

두 번째 정수 값은 관리자 권한으로 실행될 때 맬웨어가 지속성을 달성하는 방법을 지정합니다.

표 2. 관리자 권한이 있는 지속성 메커니즘

서비스 이름은 확장자가 없는 파일 이름입니다. 표시 이름은 폴더 이름이지만 이미 존재하는 경우 "라는 문자열이 추가됩니다.Revision 1”(사용하지 않은 이름이 발견될 때까지 숫자가 증가합니다). 운영자는 서비스를 통한 지속성이 견고한지 확인했습니다. 오류가 발생할 경우 1초 후에 서비스를 다시 시작해야 합니다. 그런 다음 값 WOW64 새 서비스의 레지스트리 키는 4로 설정되어 32비트 서비스임을 나타냅니다.

예약된 작업은 여러 COM 인터페이스를 통해 생성됩니다. ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. 기본적으로 악성코드는 숨겨진 작업을 생성하고 현재 사용자 또는 관리자 정보와 함께 계정 정보를 설정한 다음 트리거를 설정합니다.

이는 24시간 동안 지속되고 10분의 두 실행 간격을 갖는 일일 작업입니다. 즉, 지속적으로 실행됩니다.

악성비트

이 예에서는 실행 파일 TCPSVCS.exe (AcroTranscoder.exe)은 함께 재설정되는 DLL을 로드하는 합법적인 소프트웨어입니다. 이 경우 관심이 쏠린다. Flash Video Extension.dll.

그 기능 DLLMain 그냥 다른 함수를 호출하면 됩니다. 일부 퍼지 술어가 존재합니다.

그림 7. 퍼지 술어

이러한 오해의 소지가 있는 검사 후에 코드는 섹션을 얻습니다. .text 파일 TCPSVCS.exe, 방어력을 다음으로 변경합니다. PAGE_EXECUTE_READWRITE 더미 명령어를 추가하여 다시 작성합니다.

그림 8. 지침 순서

마지막에 함수 주소 FLVCore::Uninitialize(void), 내보냈습니다 Flash Video Extension.dll, 지침이 추가되었습니다 CALL. 이는 악성 DLL이 로드된 후 런타임이 호출할 때 WinMain в TCPSVCS.exe, 명령어 포인터는 NOP를 가리키며, FLVCore::Uninitialize(void), 다음 단계.

이 함수는 단순히 다음으로 시작하는 뮤텍스를 생성합니다. {181C8480-A975-411C-AB0A-630DB8B0A221}그 뒤에 현재 사용자 이름이 옵니다. 그런 다음 위치 독립적 코드가 포함된 덤프된 *.db3 파일을 읽고 다음을 사용합니다. CreateThread 콘텐츠를 실행합니다.

*.db3 파일의 내용은 OceanLotus 그룹이 일반적으로 사용하는 쉘코드입니다. 우리가 게시한 에뮬레이터 스크립트를 사용하여 페이로드의 압축을 다시 성공적으로 풀었습니다. GitHub에서.

스크립트는 최종 단계를 추출합니다. 이 구성 요소는 우리가 이미 분석한 백도어입니다. 이전 OceanLotus 연구. 이는 GUID에 의해 결정될 수 있습니다. {A96B020F-0000-466F-A96D-A91BBF8EAC96} 바이너리 파일. 맬웨어 구성은 PE 리소스에서 계속 암호화됩니다. 구성은 거의 동일하지만 C&C 서버는 이전 서버와 다릅니다.

- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz

OceanLotus 팀은 탐지를 피하기 위한 다양한 기술의 조합을 다시 시연합니다. 그들은 감염 과정에 대한 "정교한" 다이어그램을 가지고 돌아왔습니다. 임의의 이름을 선택하고 실행 파일을 임의의 데이터로 채워서 (해시 및 파일 이름을 기준으로) 신뢰할 수 있는 IoC의 수를 줄입니다. 또한 타사 DLL 로딩을 사용하므로 공격자는 합법적인 바이너리만 제거하면 됩니다. AcroTranscoder.

자동 추출 아카이브

RTF 파일 이후에는 사용자를 더욱 혼란스럽게 하기 위해 공통 문서 아이콘이 있는 자동 추출(SFX) 아카이브로 이동했습니다. Threatbook은 이에 대해 썼습니다 (중국어로 링크). 실행 시 자동 추출 RAR 파일이 삭제되고 확장자가 .ocx인 DLL이 실행됩니다. 최종 페이로드는 이전에 문서화되었습니다. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. 2019년 XNUMX월 중순부터 OceanLotus는 이 기술을 재사용해 왔지만 시간이 지나면서 일부 구성이 변경되었습니다. 이 섹션에서는 기술과 변경 사항에 대해 설명합니다.

미끼 만들기

문서 THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB)은 2018년에 처음 발견되었습니다. 이 SFX 파일은 설명(버전 정보) JPEG 이미지라고 나와 있습니다. SFX 스크립트는 다음과 같습니다:

그림 9. SFX 명령

악성코드가 재설정됩니다 {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), 사진도 함께 2018 thich thong lac.jpg.

미끼 이미지는 다음과 같습니다.

그림 10. 미끼 이미지

SFX 스크립트의 처음 두 줄에서 OCX 파일을 두 번 호출하는 것을 알 수 있지만 이는 오류가 아닙니다.

{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)

OCX 파일의 제어 흐름은 다른 OceanLotus 구성 요소와 매우 유사합니다. 많은 명령 시퀀스가 ​​있습니다. JZ/JNZ и PUSH/RET, 가비지 코드와 번갈아 가며 나타납니다.

그림 11. 난독화된 코드

정크코드 필터링 후 내보내기 DllRegisterServer, 라고 불리는 regsvr32.exe다음과 같이 보입니다.

그림 12. 기본 설치 프로그램 코드

기본적으로 첫 통화에서 DllRegisterServer 내보내기 세트 레지스트리 값 HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model DLL의 암호화된 오프셋(0x10001DE0).

함수가 두 번째 호출되면 동일한 값을 읽고 해당 주소에서 실행됩니다. 여기에서 RAM의 리소스와 많은 작업을 읽고 실행합니다.

쉘코드는 과거 OceanLotus 캠페인에 사용된 것과 동일한 PE 로더입니다. 다음을 사용하여 에뮬레이트할 수 있습니다. 우리의 스크립트. 결국 그는 재설정 db293b825dcc419ba7dc2c49fa2757ee.dll, 메모리에 로드하고 실행합니다. DllEntry.

DLL은 해당 리소스의 콘텐츠를 추출하고 이를 해독(AES-256-CBC)하고 압축을 푼다(LZMA). 리소스는 디컴파일하기 쉬운 특정 형식을 가지고 있습니다.

그림 13. 설치 프로그램 구성 구조(KaitaiStruct Visualizer)

구성은 명시적으로 지정됩니다. 권한 수준에 따라 바이너리 데이터가 기록됩니다. %appdata%IntellogsBackgroundUploadTask.cpl 또는 %windir%System32BackgroundUploadTask.cpl (또는 SysWOW64 64비트 시스템의 경우).

다음 이름의 작업을 생성하면 추가 지속성이 보장됩니다. BackgroundUploadTask[junk].job어디에서 [junk] 바이트 집합을 나타냅니다. 0x9D и 0xA0.

작업 애플리케이션 이름 %windir%System32control.exe, 매개변수 값은 다운로드된 바이너리 파일의 경로입니다. 숨겨진 작업은 매일 실행됩니다.

구조적으로 CPL 파일은 내부 이름을 가진 DLL입니다. ac8e06de0a6c4483af9837d96504127e.dll, 함수를 내보냅니다. CPlApplet. 이 파일은 유일한 리소스를 해독합니다. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll그런 다음 이 DLL을 로드하고 유일한 내보내기를 호출합니다. DllEntry.

백도어 구성 파일

백도어 구성은 암호화되어 해당 리소스에 포함됩니다. 구성 파일의 구조는 이전 파일과 매우 유사합니다.

그림 14. 백도어 구성 구조(KaitaiStruct Visualizer)

구조는 유사하지만 많은 필드 값이 표시된 값에서 업데이트되었습니다. 우리의 오래된 보고서.

이진 배열의 첫 번째 요소에는 DLL(HttpProv.dll MD5 : 2559738D1BD4A999126F900C7357B759), Tencent에서 확인함. 그러나 내보내기 이름이 바이너리에서 제거되었으므로 해시가 일치하지 않습니다.

추가 연구

샘플을 수집하는 동안 몇 가지 특징을 발견했습니다. 방금 설명한 표본은 2018년 2019월쯤에 나타났고, 비슷한 다른 표본도 최근인 XNUMX년 XNUMX월 중순에서 XNUMX월 초에 나타났습니다. SFX 아카이브는 합법적인 미끼 문서와 악성 OSX 파일을 유포하는 감염 경로로 사용되었습니다.

OceanLotus가 가짜 타임스탬프를 사용하더라도 SFX와 OCX 파일의 타임스탬프는 항상 동일하다는 것을 확인했습니다(0x57B0C36A (08년 14월 2016일 @ 오후 7시 15분 UTC) 및 0x498BE80F (02년 06월 2009일 @ 오전 7시 34분 UTC). 이는 아마도 작성자가 동일한 템플릿을 사용하고 단순히 일부 특성을 변경하는 일종의 "디자이너"를 가지고 있음을 나타냅니다.

2018년 초부터 우리가 연구한 문서 중에는 공격자가 관심을 갖고 있는 국가를 나타내는 다양한 이름이 있습니다.

— 캄보디아 미디어의 새 연락처 정보(New).xls.exe
— 李建香 (个人简历).exe (이력서의 가짜 PDF 문서)
— 피드백, 28년 29월 2018~XNUMX일 미국 집회.exe

백도어가 발견된 이후 {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll 여러 연구원의 분석 결과를 발표하면서 우리는 악성 코드 구성 데이터에서 일부 변경 사항을 관찰했습니다.

먼저 작성자는 도우미 DLL에서 이름을 제거하기 시작했습니다(DNSprov.dll 그리고 두 가지 버전 HttpProv.dll). 그런 다음 운영자는 세 번째 DLL(두 번째 버전) 패키징을 중단했습니다. HttpProv.dll), 하나만 삽입하도록 선택합니다.

둘째, 많은 백도어 구성 필드가 변경되어 많은 IoC를 사용할 수 있게 되면서 탐지를 회피할 가능성이 높습니다. 작성자가 수정한 중요한 필드는 다음과 같습니다.

• AppX 레지스트리 키가 변경됨(IoC 참조)
• 뮤텍스 인코딩 문자열("def", "abc", "ghi")
• 포트 번호

마지막으로 분석된 모든 새 버전에는 IoC 섹션에 새 C&C가 나열되어 있습니다.

조사 결과

OceanLotus는 계속 발전하고 있습니다. 사이버 그룹은 도구와 미끼를 개선하고 확장하는 데 중점을 두고 있습니다. 작성자는 의도한 피해자와 관련된 주제가 포함된 관심을 끄는 문서를 사용하여 악성 페이로드를 위장합니다. 그들은 새로운 체계를 개발하고 Equation Editor 익스플로잇과 같은 공개적으로 사용 가능한 도구도 사용합니다. 또한 피해자 컴퓨터에 남아 있는 아티팩트 수를 줄여 바이러스 백신 소프트웨어의 탐지 가능성을 줄이는 도구를 개선하고 있습니다.

타협의 지표

침해 지표 및 MITRE ATT&CK 속성을 사용할 수 있습니다. 웰라이브시큐리티에서 и GitHub에서.

출처 : habr.com