Di vê postê de em ê ji we re vebêjin ka koma sîber OceanLotus (APT32 û APT-C-00) çawa vê dawîyê yek ji îstîsmarên berdest ên gelemperî bikar anî. , qelsiyên xerabûna bîranînê di Microsoft Office de, û çawa malwareya komê domdariya li ser pergalên lihevhatî bêyî ku şopek bihêle digihîje. Dûv re, em ê diyar bikin ka, ji destpêka sala 2019-an vir ve, kom arşîvên xwe-derxistina kodê bikar tîne.
OceanLotus di sîxuriya sîber de pispor e, ku armancên pêşîn welatên li Asyaya Başûr-rojhilatê ne. Êrîşker belgeyên ku bala mexdûrên potansiyel dikişîne da ku wan qanih bikin ku derya paşîn bi darve bikin çêdikin, û her weha li ser pêşxistina amûran dixebitin. Rêbazên ku ji bo afirandina honeypots têne bikar anîn di êrîşan de cûda dibin, ji pelên "du-berfireh", arşîvên xwe-derxistina, belgeyên bi makroyan, heya kedkarên naskirî.
Di Edîtorê Hevkêşana Microsoft-ê de îstismarek bikar tînin
Di nîvê 2018-an de, OceanLotus kampanyayek kir ku xirapiya CVE-2017-11882 bikar tîne. Yek ji belgeyên xerab ên koma sîber ji hêla pisporên Navenda Îstixbaratî ya 360 Threat ve hate analîz kirin (), tevî danasîna berfireh a îstîsmarê. Di posta jêrîn de nêrînek li ser belgeyek wusa xirab heye.
Yekem yekem
Belge FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) dişibe ya ku di lêkolîna li jor de hatî behs kirin. Balkêş e ji ber ku ew ji bikarhênerên ku bi siyaseta Kamboçyayê re eleqedar in (CNRP - Partiya Rizgariya Neteweyî ya Kamboçyayê, di dawiya 2017-an de hate hilweşandin) tê armanc kirin. Tevî dirêjkirina .doc, belge di formata RTF de ye (li wêneya jêrîn binêre), koda çopê dihewîne, û di heman demê de xerakirî ye.
Wêne 1. "Zop" di RTF de
Her çend hêmanên şaş hebin jî, Word vê pelê RTF bi serfirazî vedike. Wekî ku hûn di Xiflteya 2-ê de dibînin, avahiyek EQNOLEFILEHDR li offset 0xC00 heye, li dûv sernivîsek MTEF, û dûv re jî têketinek MTEF (Wêne 3) ji bo fontê heye.
Wêne 2. Nirxên têketina FONT
3.
Zêdebûna gengaz li zeviyê nav, ji ber ku mezinahiya wê berî kopîkirinê nayê kontrol kirin. Navek ku pir dirêj e, qelsiyek çêdike. Wekî ku hûn ji naveroka pelê RTF-ê dibînin (di Figure 0-ê de 26xC2 veqetandî), tampon bi şêlkodê tê dagirtin û li dûv fermanek dummy (0x90) û navnîşana vegere 0x402114. Navnîşan di nav de hêmanek diyalogê ye EQNEDT32.exe, talîmatan nîşan dide RET. Ev dibe sedem ku EIP destnîşan bike destpêka zeviyê navku şîfreya kodê heye.
Xiflteya 4. Destpêka şêlkoda îstîsmarê
Navnîşan 0x45BD3C guhêrbarek ku tê jêbirin hildide heya ku ew bigihîje nîşanek li avahiya barkirî ya niha MTEFData. Yên mayî yên shellcode li vir e.
Armanca shellcode ew e ku perçeya duyemîn a shellcode ya ku di belgeya vekirî de hatî bicîh kirin pêk bîne. Shellcode ya orîjînal ewil hewl dide ku ravekera pelê ya belgeya vekirî bibîne û li ser hemî ravekerên pergalê dubare bike (NtQuerySystemInformation bi arguman SystemExtendedHandleInformation) û kontrol bikin ka ew li hev dikin PID raveker û PID doz WinWord û gelo belge bi maskek gihîştinê hate vekirin - 0x12019F.
Ji bo piştrastkirina ku destana rast hatiye dîtin (û ne destikê belgeyek din a vekirî), naveroka pelê bi karanîna fonksiyonê têne xuyang kirin. CreateFileMapping, û shellcode kontrol dike ka çar baytên paşîn ên belgeyê li hev dikin an na"yyyy"(Rêbaza nêçîra hêkan). Dema ku hevheviyek hat dîtin, belge li peldankek demkî tê kopî kirin (GetTempPath) Çawa ole.dll. Paşê 12 bytên dawî yên belgeyê têne xwendin.
Wêne 5. Dawiya Nîşankerên Belgeyê
Nirxa 32-bit di navbera nîşankeran de AABBCCDD и yyyy guheztina koda şêlê ya din e. Bi karanîna fonksiyonê tê gotin CreateThread. Heman shellcode ku berê ji hêla koma OceanLotus ve hatî bikar anîn derxistin. , ku me di Adara 2018-an de derxist, hîn jî ji bo qonaxa duyemîn kar dike.
Qonaxa duyem
Rakirina pêkhateyên
Navên pel û peldankê bi dînamîk têne hilbijartin. Koda bi korfelaqî navê pelê îcrakar an DLL tê de hildibijêre C:Windowssystem32. Dûv re daxwazek ji çavkaniyên xwe dike û zeviyê vedigire FileDescription wekî navê peldankê bikar bînin. Ger ev nexebite, kod bi rasthatinî navek peldankê ji peldankan hildibijêre %ProgramFiles% an C:Windows (из GetWindowsDirectoryW). Он избегает использования имени, которое может конфликтовать с существующими файлами, и следит за тем, чтобы оно не содержало следующие слова: windows, Microsoft, desktop, system, system32 an syswow64. Ger pelrêç jixwe hebe, "NLS_{6 karakter}" li navî tê zêdekirin.
çavkaniyê binirxîne 0x102 tê analîz kirin û dosya tê avêtin %ProgramFiles% an %AppData%, peldankek bi korfelaqî hilbijartî. Dema afirandinê guhert da ku xwediyê heman nirxan be kernel32.dll.
Mînakî, li vir peldank û navnîşa pelan e ku ji hêla hilbijartî ve hatî afirandin C:Windowssystem32TCPSVCS.exe wekî çavkaniya daneyê.
Wêne 6. Derxistina pêkhateyên cihêreng
Struktura Çavkaniyê 0x102 di dropper de pir tevlihev e. Bi kurtî, ew dihewîne:
- Navên pelan
- Mezinahî û naveroka pelê
- Forma berhevkirinê (COMPRESSION_FORMAT_LZNT1, ji hêla fonksiyonê ve tê bikaranîn RtlDecompressBuffer)
Pelê yekem wekî nûvekirin TCPSVCS.exe, ku rewa ye AcroTranscoder.exe (ligor FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
Dibe ku we ferq kiriye ku hin pelên DLL ji 11 MB mezintir in. Ji ber vê yekê ye ku tamponek mezin a hevgirtî ya daneyên bêserûber di hundurê pelê darvekirî de tê danîn. Mimkun e ku ev rêyek e ku meriv ji hêla hin hilberên ewlehiyê ve ji tespîtê dûr bisekine.
Temînkirina berdewamiyê
çavkaniyê binirxîne 0x101 di dropper de du hejmarên 32-bit hene ku diyar dike ka divê çawa berdewamî were peyda kirin. Nirxa yekem diyar dike ka dê çawa malware bêyî mafên rêveberiyê bidomîne.
Tablo 1. Mekanîzmaya domdar bêyî mafên rêveberiyê
Nirxa jimareya duyemîn diyar dike ku dema ku bi mafên rêveberê dimeşîne divê malware çawa bidomîne.
Tablo 2. Mekanîzmaya domdar a bi mafên rêvebir
Navê karûbarê navê pelê bêyî dirêjkirinê ye; Navê xuyangê navê peldankê ye, lê heke ew jixwe hebe, rêzika " tê pêvekirin.Revision 1” (hejmar zêde dibe heta ku navekî nebikaranîn were dîtin). Operator piştrast kirin ku berdewamiya karûbarê bihêz e - di rewşek têkçûn de, divê karûbar piştî 1 çirkeyê ji nû ve were destpêkirin. Piştre nirx WOW64 Mifteya qeydê ya karûbarê nû li 4-ê hatî danîn, ku destnîşan dike ku ew karûbarek 32-bit e.
Karûbarek plansazkirî bi navgîniya çend navbeynkarên COM ve tê afirandin: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. Di bingeh de, malware peywirek veşartî diafirîne, agahdariya hesabê li gel agahdariya bikarhêner an rêveberê heyî saz dike, û dûv re jî tetikê destnîşan dike.
Ev karekî rojane ye bi dirêjahiya 24 saetan û navberên di navbera du darvekirinên 10 deqeyan de, ku tê vê wateyê ku ew ê bi berdewamî bimeşîne.
Piçek xerab
Di mînaka me de, pelê îcrakar TCPSVCS.exe (AcroTranscoder.exe) nermalava rewa ye ku DLL-yên ku bi wê re têne vesaz kirin bar dike. Di vê rewşê de, balkêş e Flash Video Extension.dll.
Fonksiyona wê DLLMain tenê fonksiyonek din bang dike. Hin pêşniyarên fuzzy hene:
Şikil 7. Pêşniyarên fuzzy
Piştî van kontrolên xapînok, kod beşek dibe .text dosî TCPSVCS.exe, parastina xwe diguherîne PAGE_EXECUTE_READWRITE û bi lêzêdekirina talîmatên dummy wê ji nû ve dinivîse:
Wêne 8. Rêza talîmatan
Di dawiyê de navnîşana fonksiyonê FLVCore::Uninitialize(void), îxrac kirin Flash Video Extension.dll, talîmat tê zêdekirin CALL. Ev tê wê wateyê ku piştî ku DLL-ya xerab tê barkirin, dema ku dema xebitandinê bang dike WinMain в TCPSVCS.exe, nîşana talîmatê dê NOP nîşan bide, dibe sedema FLVCore::Uninitialize(void), qonaxa paşîn.
Fonksîyon bi tenê dest pê dike mutex diafirîne {181C8480-A975-411C-AB0A-630DB8B0A221}li pey navê bikarhênerê heyî. Dûv re ew pelê *.db3-ya ku hatî avêtin, ku koda serbixwe-pozîsyonê vedihewîne, dixwîne û bikar tîne CreateThread ji bo pêkanîna naverokê.
Naveroka pelê *.db3 koda şêlê ye ku koma OceanLotus bi gelemperî bikar tîne. Me dîsa bi serfirazî bargiraniya wê bi karanîna skrîpta emulatorê ya ku me weşandibû vekir .
Senaryo qonaxa dawî derdixe. Ev pêkhate deriyek paşde ye, ku me berê jî tê de analîz kiriye . Ev dikare ji hêla GUID ve were destnîşankirin {A96B020F-0000-466F-A96D-A91BBF8EAC96} pelê binary. Veavakirina malware hîn jî di çavkaniya PE de hatî şîfre kirin. Ew hema hema heman veavakirinê heye, lê serverên C&C ji yên berê cuda ne:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
Tîma OceanLotus dîsa tevliheviyek teknîkên cihêreng destnîşan dike da ku ji tespîtê dûr bixe. Ew bi nexşeyek "paqijkirî" ya pêvajoya enfeksiyonê vegeriyan. Bi bijartina navên bêserûber û dagirtina kargêran bi daneyên bêserûber, ew hejmara IoC-yên pêbawer (li ser bingeha hashes û navên pelan) kêm dikin. Digel vê yekê, bi saya karanîna barkirina DLL-ya sêyemîn, êrîşkar tenê hewce ne ku binarya rewa jê bikin. AcroTranscoder.
Arşîvên xweser derxistin
Piştî pelên RTF, kom derbasî arşîvên xwe-derxistina (SFX) bi îkonên belgeyên hevpar bûn da ku bikarhêner bêtir tevlihev bike. Threatbook li ser vê nivîsand (). Bi destpêkirinê re, pelên RAR-ên xwe-derxistin têne avêtin û DLL-yên bi dirêjkirina .ocx têne darve kirin, ku barkirina paşîn a ku berê hatî belge kirin. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. Ji nîvê Çileya 2019-an vir ve, OceanLotus vê teknîkê ji nû ve bikar tîne, lê bi demê re hin veavakirin diguhezîne. Di vê beşê de em ê li ser teknîk û guhertinan biaxivin.
Çêkirina Lure
Belge THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) yekem car di 2018 de hate dîtin. Vê pelê SFX bi şehrezayî hate afirandin - di ravekirinê de (Agahdariya Guhertoyê) dibêje ev wêneyek JPEG ye. Skrîpta SFX bi vî rengî xuya dike:
jimar 9. Fermanên SFX
Malware ji nû ve vedibe {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), û her weha wêneyek 2018 thich thong lac.jpg.
Wêneyê deqê wiha xuya dike:
Wêne 10. Wêneyê Xapandinê
Dibe ku we ferq kiriye ku du rêzên yekem ên di skrîpta SFX de du caran pelê OCX bang dikin, lê ev ne xeletiyek e.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
Herikîna kontrolê ya pelê OCX pir dişibihe pêkhateyên din ên OceanLotus - gelek rêzikên fermanê JZ/JNZ и PUSH/RET, bi koda çopê veguherîne.
Figure 11. Koda obfuscated
Piştî fîlterkirina koda nebaş, hinarde bikin DllRegisterServer, gazî kirin regsvr32.exe, wiha:
Wêne 12. Koda sazkerê bingehîn
Di bingeh de, di banga yekem de DllRegisterServer hinardekirin nirxa qeydê destnîşan dike HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model ji bo offset şîfrekirî di DLL de (0x10001DE0).
Dema ku fonksiyon cara duyemîn tê gazî kirin, ew heman nirxê dixwîne û li wê navnîşanê pêk tê. Ji vir çavkanî û gelek çalakiyên di RAM-ê de têne xwendin û darve kirin.
Shellcode heman barkerê PE ye ku di kampanyayên paşîn ên OceanLotus de tê bikar anîn. Ew dikare bi kar bîne emûlasyon . Di dawiyê de ew reset dike db293b825dcc419ba7dc2c49fa2757ee.dll, wê di bîrê de bar dike û dike DllEntry.
DLL naveroka çavkaniya xwe derdixe, (AES-256-CBC) deşîfre dike û (LZMA) jê dike. Çavkaniyek xwedan formatek taybetî ye ku jihevxistina wê hêsan e.
Wêne 13. Struktura veavakirina sazker (KaitaiStruct Visualizer)
Veavakirin bi eşkere tête diyar kirin - li gorî asta îmtiyazê, dê daneyên binary li ser were nivîsandin %appdata%IntellogsBackgroundUploadTask.cpl an %windir%System32BackgroundUploadTask.cpl (an jî SysWOW64 ji bo pergalên 64-bit).
Zêdetir domdar bi afirandina peywirek bi navê ve tê misoger kirin BackgroundUploadTask[junk].jobko [junk] komek byte temsîl dike 0x9D и 0xA0.
Navê Serlêdana Karê %windir%System32control.exe, û nirxa parametreyê riya pelê binaryê ya dakêşandî ye. Karê veşartî her roj dimeşe.
Bi strukturî, pelek CPL DLLek bi navek navxweyî ye ac8e06de0a6c4483af9837d96504127e.dll, ku fonksiyonek hinarde dike CPlApplet. Ev pel tenê çavkaniya xwe deşîfre dike {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, paşê vê DLL-ê bar dike û gazî îxracata wê ya yekane dike DllEntry.
Pelê veavakirina paşverû
Veavakirina paşperdeya şîfrekirî ye û di çavkaniyên wê de tête bicîh kirin. Struktura pelê veavakirinê pir dişibihe ya berê.
Figure 14. Struktura veavakirina paşverû (KaitaiStruct Visualizer)
Her çend avahî dişibihe jî, gelek nirxên zeviyê ji yên ku tê de têne destnîşan kirin hatine nûve kirin .
Hêmana yekem a array binary DLL heye (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), . Lê ji ber ku navê îxracatê ji binaryê hate rakirin, haşe li hev nakin.
Lêkolîn Additional
Di dema berhevkirina nimûneyan de, me hin taybetmendî dîtin. Nimûneya ku tenê hatî destnîşan kirin li dora Tîrmeha 2018-an xuya bû, û yên din ên mîna wê di nîvê Rêbendanê heya destpêka Sibata 2019-an de xuya bûn. Arşîva SFX wekî vektorek enfeksiyonê hate bikar anîn, ku belgeyek deqê ya rewa û pelek OSX-a xerab davêje.
Her çend OceanLotus zemanên sexte bikar tîne jî, me dît ku dema pelên SFX û OCX her gav yek in (0x57B0C36A (08/14/2016 @ 7:15 UTC) û 0x498BE80F (02/06/2009 @ 7:34 UTC) bi rêzê). Ev belkî destnîşan dike ku nivîskar xwedan celebek "sêwiraner" in ku heman şablonan bikar tîne û bi tenê hin taybetmendiyan diguhezîne.
Di nav belgeyên ku me ji destpêka sala 2018an vir ve lêkolîn kirine de, navên cûrbecûr hene ku welatên eleqedar ji bo êrîşkaran nîşan didin:
- Agahdariya Têkiliya Nû ya Medya Kamboçya (Nû).xls.exe
— 李建香 (个人简历).exe (belgeya pdf ya sexte ya CV)
- bersiv, Rally li DY ji 28-29 Tîrmeh, 2018.exe
Ji ber ku derî paşde hat dîtin {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll û weşandina analîza wê ji hêla gelek lêkolîneran ve, me hin guhertin di daneyên veavakirina malware de dît.
Pêşîn, nivîskaran dest bi rakirina navan ji DLL-yên alîkar kirin (DNSprov.dll û du versiyonên HttpProv.dll). Dûv re operatoran pakkirina DLL-ya sêyemîn (guhertoya duyemîn HttpProv.dll), Hilbijartina ku tenê yek bi cîh bike.
Ya duyemîn, gelek qadên veavakirina paşîn hatin guheztin, ji ber ku gelek IoC peyda bûn, dibe ku ji tespîtê dûr bikevin. Qadên girîng ên ku ji hêla nivîskaran ve hatine guheztin ev in:
- Mifteya qeydê AppX guherî (li IoCs binêre)
- rêzika kodkirina mutex ("def", "abc", "ghi")
- hejmara port
Di dawiyê de, hemî guhertoyên nû yên hatine analîz kirin C&C-yên nû di beşa IoCs de têne navnîş kirin.
vebiguherin
OceanLotus pêşveçûna xwe berdewam dike. Koma sîber balê dikişîne ser safîkirin û berfirehkirina alav û deqan. Nivîskar bi karanîna belgeyên balkêş ên ku mijara wan bi mexdûrên mexdûr re têkildar e, bargiranên xirab vedişêrin. Ew pîlanên nû pêşdixin û di heman demê de amûrên berdest ên gelemperî jî bikar tînin, wekî îstismara Equation Editor. Digel vê yekê, ew amûran baştir dikin da ku hejmara berhemên ku li ser makîneyên mexdûran mayî kêm bikin, bi vî rengî şansê tespîtkirina ji hêla nermalava antivirus kêm dikin.
nîşaneyên lihevhatinê
Nîşaneyên lihevhatinê û her weha taybetmendiyên MITER ATT&CK hene и .
Source: www.habr.com
