In post, narrabimus tibi quomodo OceanLotus cybergroup (APT32 et APT-C-00) nuper usus est una e rebus publicis praesto ad res gestas. , memoria corruptionis vulnerabilitates in Microsoft Office, et quomodo malware catervae perseverantiam in systematibus aedilibus sine vestigiis relinquens efficit. Deinde describimus quomodo, ab initio MMXIX, coetus archivi sui extrahendi usus fuerit ad codicem currendum.
OceanLotus speciale in cyber dispiciatur, primatus scuta sunt nationes Asiae meridionalis. Impugnatores documenta fabricant quae attentionem victimarum potentialium attrahunt ut posticum exsequendum persuadeat, et etiam in evolutione instrumentorum operantur. Modi ad melpotandum creandi diversi impetus variantur - ex fasciculis "duplicis extensionis", archivi sui ipsius extrahendi, documenta macro, ad res notas gestas.
Uti in Microsoft Equation Faciens Editor
Medio-2018, OceanLotus expeditionem in CVE-2017-11882 vulnerabilitatem opprimens cucurrit. Una ex malignis documentis cyber- globi per 360 Threat Intelligence Centre specialitas evolvit () , inter res gestas enarratas. Posta infra est inspectio tam malitiosi documenti.
Primum scaena
scriptum FW Report on demonstration of former CNRP in Republic of Korea.doc (sha-I: D1357B284C951470066AAA7A8228190B88A5C7C3) similis est illi de quo in tablino supra. Iucundum est quod usoribus destinatur qui in politica Cambodiana intersunt (CNRP - Cambodia Nationalis Salutis Party, sub fine anni 2017). Quamvis extensio doc, documentum in RTF forma (vide figuram infra), codicem junk continet et etiam garbled est.
Figure 1. Purgamentum init in RTF
Quamvis praesentia depravati elementi, Verbum feliciter hunc fasciculum RTF aperit. Ut videre potes in Figura 2, hic structura EQNOLEFILEHDR ad offset 0xC00 sequitur caput MTEF et tunc viscus MTEF (Figura 3) pro fonte.
Figure 2. FONT Record Pretio
3 figure.
Possibile est ager redundantiam nominequod magnitudo eius ante typum non tardatur. Nimis longum nomen saltem vulnerabilitas est. Ut videre potes e contentis fasciculi RTF (in figu cinguli 0xC26 2), quiddam impletum est testaceo, quod sequitur mandatum phantasticum (0x90) Et reditus oratio 0x402114. Oratio est alternis elementis EQNEDT32.exeostendens instructiones RET. Hoc facit EIP ad designandum initium agri nomineContinens corticem.
Figure 4. Initium operis shellcode
oratio 0x45BD3C recondit variabilis quae dereferenced dum attingit monstratorem ad structuram nunc onustam MTEFData. Reliqua shellcode hic est.
Propositum testaceum est secundum fragmentum testaceum in documento aperto infixam exequi. Primum, originalis shellcode nititur tabellam descriptorem documenti aperti invenire iterando super omnes descriptores systematis (NtQuerySystemInformation cum argumento SystemExtendedHandleInformation) Et reprehendo si aequare PID descriptor et * PID processus WinWord et an cum accessu larva documentum apertum sit. 0x12019F.
Ad confirmandum ansam rectam inveniendam (nec manubrium alterius documenti aperti), contenta in tabella functione utente monstrantur CreateFileMappingac testa cohibet si quattuor bytes ultimi documenti compositus "yyyy» (Hunc Venandi modum). Postquam par inventus est, documentum ad tempus folder exscriptus est.GetTempPath) Quam ole.dll. Tum XII bytes scripti ultimi leguntur.
Figura 5. Finis-of-Documentum Markers
XXXII frenum valorem inter venalicium AABBCCDD и yyyy est offset ex altera shellcode. Dicitur cum functione CreateThread. Excerpta eodem cortice usus est coetus antea OceanLotus. quam mense Martio MMXVIII emisimus, adhuc pro secundo stadio TUBER currit.
secunda cruris
Components eiciendis
Fasciculi et directorii nomina dynamice electa sunt. In codice passim eligit nomen exsecutabile vel DLL lima in C:Windowssystem32. Rogat ergo suas facultates et recuperat campum FileDescription ut ut folder nomine. Si hoc non operatur, signum passim deligit nomen folder e directoriis %ProgramFiles% aut C:Windows (from GetWindowsDirectoryW). Nomen utens vitat quae cum imagini exsistentibus repugnat et facit ut certo non contineat sequentia verba: windows, Microsoft, desktop, system, system32 aut syswow64. Si indicem iam exstat, "NLS_{6 characters}" nomini adscriptum est.
resource 0x102 parsed ac lima rasurae %ProgramFiles% aut %AppData%ut a folder temere lego. Tempus creationis mutatum est ut eosdem valores habeant kernel32.dll.
Exempli gratia, hic est folder et index documentorum creati eligendo exsecutabile C:Windowssystem32TCPSVCS.exe ut a fonte data.
Figure 6. Extractio variarum partium
Resource Structure 0x102 in dropper satis complicata. In nuce, continet;
- filenames
- File size and content
- Cogo forma (COMPRESSION_FORMAT_LZNT1usus est ad munus RtlDecompressBuffer)
Primum lima est rasurae TCPSVCS.exequod est licitum AcroTranscoder.exe (secundum FileDescription, SHA-I: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
Animadvertere licet aliquas tabulas DLL maiores esse quam 11MB. Causa est, quia magnum quiddam contiguum temere notitiae exsecutabile insidet. Fieri potest ut haec via deprehendatur ab aliquo artificio securitatis.
Ensuring pertinacia
resource 0x101 in destillatione duos integros 32-bitos continet qui definiunt quomodo perseverantia urgeatur. Valor primi significat quomodo malware perseverabit sine iuribus administratoribus.
Mensa 1. Non-administrator Perseverantia Mechanismus
Valor secundi integri notat quomodo malware perseverantiam curet cum privilegiis administrativis.
Mensa 2. Administrator Perseverantia Mechanismus
Nomen servitus est nomen tabella sine extensione; Nomen ostentationis nomen est folder, sed si iam exstat, chorda "Revision 1"(Numerus augetur donec nomen insuetum inveniatur). Operatores curaverunt ut pertinacia per servitium consi- deretur - in casu defectio, servitium post 1 secundum debet silegere. Tum valorem WOW64 Novus subcriptio key pro ministerio ad 4 ponitur, significans hoc esse servitium 32 frenum.
Negotium scheduled per plures COM interfaces creatur: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. Malware per se munus occultum creat, rationem informationis ponit una cum informatione usoris vel administratoris currentis, et tunc felis ponit.
Hoc opus cottidianum est cum spatio 24 horarum et intervallorum inter duo currit 10 minuta, quod significat constanter currere.
Malignus bit
In nostro exemplo exsecutabile TCPSVCS.exe (AcroTranscoder.exe) programmatio legitima est quae DLLs cum eo demissas onerat. In hoc casu interest Flash Video Extension.dll.
Munus suum DLLMain sicut aliud munus vocat. Sunt aliqua praedicata quamquam;
Figure 7. Fuzzy praedicata
Post has errans compescit, signum sectionem accipit .text file TCPSVCS.exeMutat suam tutelam PAGE_EXECUTE_READWRITE phantasma et overwrites eam cum mandatis ;
Figure 8. Sequentia instructionum
In fine inscriptionis muneris FLVCore::Uninitialize(void), exportatum Flash Video Extension.dllAdditur instructio CALL. Hoc est, quod post malignos DLL oneratur, quando runtime vocat WinMain в TCPSVCS.exe, monstratorem monstrabit NOP, unde fit in vocatione FLVCore::Uninitialize(void)deinceps scaena.
Munus simpliciter creat mutex incipiens cum {181C8480-A975-411C-AB0A-630DB8B0A221}sequitur hodiernam cap. Is deinde tabulam rasurae *.db3 legit, quae codicem positio-independens continet et usus CreateThread exequi contentus.
Scapus *.db3 contentum testaceum est quo equos OceanLotus typice utitur. Nos iterum feliciter decompressi eius payload utendo emulatore scripto edidimus. .
Scriptum recuperat ultimum. Haec pars posticum est quod iam in explicatione . Hoc determinari potest a GUID {A96B020F-0000-466F-A96D-A91BBF8EAC96} fasciculus binarius. Configuratio malware in re machina PE adhuc encrypta est. Eadem fere conformatio habet, sed ministri C&C a superioribus differunt;
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
Circulus OceanLotus denuo compositionem variarum artium ad vitandam detectionem demonstrat. Redierunt cum "consummatione" processus infectio. Nomina temere eligentes et cum incertis notitias exsecutabiles implent, numerum certorum IoCs minuunt (hashes et filenamiis innituntur). Praeterea, oppugnatoribus tertiae factionis DLL oneratisque tantum opus est ut binarii legitimi removeantur AcroTranscoder.
Archivum auto-extractionem
Post RTF imaginum series, coetus ad auto-extrahendos (SFX) archivos cum iconibus communibus documentorum communibus utentium adhuc confundit. Threatbook scripsit de eo (). In satus, fasciculi RAR auto-extrahendi sunt rasurae et DLLs cum extensione ocx exsecutionis, quorum finalis payload antea documentum erat. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. Cum medium Ianuarias MMXIX, OceanLotus hanc technicam technicam incusavit, sed nonnullas figurationes in tempore commutavit. In hac sectione, de artificio et mutationibus loquemur.
Partum fallacia
scriptum THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (sha-I: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) primum in MMXVIII. Hic fasciculus SFX cum mente creatus est - in descriptioneVersionem Info) dicit imaginem JPEG's. SFX scriptum similis est:
Figure 9. SFX mandatis
Malware resets {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (sha-I: EFAC23B0E6395B1178BCF7086F72344B24C04DCC) Tum picturae 2018 thich thong lac.jpg.
Inlex imago haec similis est:
Figure 10. Decoy Image
Animadvertis duas priores lineas in SFX scripto bis tabellam vocare OCX, sed error non est.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
Imperium fasciculi OCX fluxus simillimus est aliis componentibus OceanLotus - plura sequentia mandata JZ/JNZ и PUSH/RETinterleaved junk cum codice.
Figure 11. Obfuscated codice
Post eliquare quisquiliarum signum, exportatio DllRegisterServervocatus regsvr32.exehoc modo:
Figure 12. Main installer codice
Plerumque, primum vocas DllRegisterServer export occidere subcriptio valorem HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model quia encrypted offset in DLL (0x10001DE0).
Cum iterato munere appellatur, idem valorem legit ac in illa inscriptione exequitur. Dehinc subsidium legitur et actum, et multae actiones in RAM aguntur.
Testa est eadem PE oneratus in expeditionibus antea OceanLotus. Potest aemulari . In fine, remittit db293b825dcc419ba7dc2c49fa2757ee.dllonerat in memoriam et exequitur DllEntry.
DLL contenta extrahit subsidii, decryptae (AES-256-CBC) et decompressae (LZMA) ejus. Subsidium habet formas specificas quae facile corrumpunt.
Figure 13. Installer configuration structure (KaitaiStruct Visualizer)
Configuratio explicite ponitur -, secundum gradum privilegii, notitia binaria scribetur to . %appdata%IntellogsBackgroundUploadTask.cpl aut %windir%System32BackgroundUploadTask.cpl (aut SysWOW64 for 64-bit ratio).
Praeterea perseverantia in tuto collocetur a creando nomine BackgroundUploadTask[junk].jobquibus [junk] a paro of bytes 0x9D и 0xA0.
Negotium applicationem nomen eius %windir%System32control.exepretiumque parametri ad fasciculi binarii receptae via est. Absconditum opus quotidie decurrit.
Structure, fasciculus CPL est DLL cum nomine interno ac8e06de0a6c4483af9837d96504127e.dll, qui munus exportat CPlApplet. Haec file decrypts eius tantum resource {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dllonerat, quod DLL et tantum exportat DllEntry.
Backdoor configuration file
Configuratio posticium encryptum est et in suis opibus immergitur. Structura limae configurationis priori simillima est.
Figure 14. Backdoor configuration structure (KaitaiStruct Visualizer)
Quamvis similis structurae, valores multorum agrorum renovati sunt comparati ad notitias quae in .
Primum elementum ordinatae binarii continet DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), . Sed cum nomen exportationis a binario remotum est, hashes non congruunt.
studiis additional
Exempla colligenda, quasdam notas attendimus. Specimen modo descriptum circa Iulium 2018 apparuit, et alii similes recentius apparuit, in medio Ianuario - primo Februario MMXIX. Tabularium SFX adhibitum est ut vector tabes, omissa legitimo inlecebra documento et fasciculi malitiosi OCX.
Etiamsi OceanLotus fictis indicationibus utitur, animadvertimus SFX et OCX indicia semper eadem esse (0x57B0C36A (08/14/2016 @ 7:15pm UTC) 0x498BE80F (02/06/2009 @ 7:34am UTC) respectively). Hoc probabiliter indicat auctores aliquam speciem "constructoris" habere, qui iisdem exemplis utitur et notas quasdam immutat.
Inter documenta, quae ab initio 2018 studuimus, varia sunt nomina, quae nationes interest oppugnare indicantes;
- The New Contact Information De Cambodia Media (New).xls.exe
- (个人简历).exe (fake pdf document of a CV)
- feedback, Rally in USA de July 28-29, 2018.exe
Quia inventio posticum {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll et evulgatio eius analysi per plures inquisitores, aliquas mutationes in notitia configurationis malware observavimus.
Primum, auctores nomina ab auxiliatore DLL DLLs removere coeperunt.DNSprov.dll et duo versiones HttpProv.dll). Tum operariorum packaging cessaverunt tertia DLL (secunda versio HttpProv.dll) eligens unum immersum.
Secundo, multi campi configurationis posticium mutati sunt, probabiliter ad vitandam detectionem quotquot IoCs in promptu facti sunt. Inter praecipuas regiones ab auctoribus mutatae sunt haec;
- mutata subcriptio key AppX (vide IoCs)
- mutex modum translitterandi filum ("def", "abc", "ghi")
- portum numerus
Omnes denique novae versiones enucleatae habent novas C&Cs in sectione IoCs enumeratas.
Inventiones
OceanLotus evolvere pergit. Circulus cyberus ad instrumenta et illecebras expolitio et dilatatio spectat. Auctores malevoli payloads larva cum documentis attentis expoliantes, quae ad victimas destinatas pertinent. Novos circulos explicant et etiam instrumenta publica praesto utuntur ut Editor ab Equatione facias. Praeterea instrumenta emendare ad numerum artificialium in machinis victimarum relictum reducere, eoque casu deprehensionis per programmatum antivirorum reducendo.
Indicatores compromissum
Indicatores compromissi necnon MATER ATT&CK attributa praesto sunt и .
Source: www.habr.com