Ao amin'ny lahatsoratra dia holazainay aminao ny fomba nampiasan'ny OceanLotus cybergroup (APT32 sy APT-C-00) vao haingana ny iray amin'ireo fanararaotana azo ampahibemaso ho an'ny daholobe. , fahalemena amin'ny kolikoly amin'ny fitadidiana ao amin'ny Microsoft Office, ary ny fomba iantohan'ny malware an'ny vondrona ny fikirizana amin'ireo rafitra simba nefa tsy mamela soritra. Manaraka izany, dia mamaritra ny fomba nampiasan'ny vondrona ny arisiva fakana ny tenany, hatramin'ny fiandohan'ny taona 2019, mba hampandehanana ny kaody.
OceanLotus dia manam-pahaizana manokana amin'ny fitsikilovana an-tserasera, ny tanjona laharam-pahamehana dia ireo firenena any Azia Atsimo Atsinanana. Ny mpanafika dia mamolavola antontan-taratasy izay manintona ny sain'ireo mety ho tra-boina mba handresen-dahatra azy ireo hanao varavarana ambadika, ary hiasa amin'ny famolavolana fitaovana ihany koa. Ny fomba ampiasaina amin'ny famoronana tantely dia miovaova amin'ny fanafihana isan-karazany - manomboka amin'ny fisie "fanitarana avo roa heny", ny arisivan-tena, ny antontan-taratasy macro, hatramin'ny fanararaotana malaza.
Mampiasa ny exploit ao amin'ny Microsoft Equation Editor
Tamin'ny tapaky ny taona 2018, OceanLotus dia nanao fanentanana nanararaotra ny vulnerability CVE-2017-11882. Ny iray amin'ireo antontan-taratasy ratsy an'ny vondrona cyber dia nodinihin'ny manam-pahaizana manokana momba ny 360 Threat Intelligence Center (), anisan'izany ny famaritana amin'ny antsipiriany momba ny fitrandrahana. Ny lahatsoratra eto ambany dia topimaso momba ny antontan-taratasy maloto toy izany.
Ny dingana voalohany
Ny antontan-taratasy FW Report on demonstration of former CNRP in Republic of Korea.doc (sha-1: D1357B284C951470066AAA7A8228190B88A5C7C3) dia mitovy amin’ilay voalaza ao amin’ilay fianarana etsy ambony. Mahaliana izany satria natao ho an'ireo mpampiasa izay liana amin'ny politika Kambodziana (CNRP - Antoko Famonjena Nasionaly Kambodza, noravana tamin'ny faran'ny taona 2017). Na eo aza ny fanitarana .doc, ny antontan-taratasy dia amin'ny endrika RTF (jereo ny sary etsy ambany), misy kaody junk, ary mikorontana ihany koa.
Sary 1. Fako ao amin'ny RTF
Na dia eo aza ny fisian'ny singa tsy mety dia manokatra ity rakitra RTF ity i Word. Araka ny hitanao ao amin'ny sary 2, ity misy rafitra EQNOLEFILEHDR amin'ny offset 0xC00 arahin'ny lohatenin'ny MTEF ary avy eo ny fidirana MTEF (sary 3) ho an'ny endritsoratra.
Sary 2. Sanda firaketana FONT
Figure 3.
Mety hihoatra ny saha anarana, satria tsy voamarina ny habeny alohan'ny hanaovana kopia. Ny anarana lava loatra dia miteraka ny vulnerability. Araka ny hitanao amin'ny votoatin'ny rakitra RTF (offset 0xC26 amin'ny sary 2), ny buffer dia feno shellcode arahin'ny baiko dummy (0x90) ary ny adiresiny 0x402114. Ny adiresy dia singa fifanakalozan-kevitra ao EQNEDT32.exemanondro toromarika RET. Izany dia mahatonga ny EIP manondro ny fiandohan'ny saha anaranaNy misy ny shellcode.
Sary 4. Fiantombohan'ny fampiasana shellcode
adiresy 0x45BD3C mitahiry fari-pitsipika izay tsy misy dikany mandra-pahatongany amin'ny tondro mankany amin'ny rafitra feno entana MTEFData. Ity ny ambiny amin'ny shellcode.
Ny tanjon'ny shellcode dia ny manatanteraka ny ampahany faharoa amin'ny shellcode tafiditra ao anatin'ny rakitra misokatra. Voalohany, ny shellcode tany am-boalohany dia manandrana mitady ny famaritana ny rakitra amin'ny antontan-taratasy misokatra amin'ny alàlan'ny famerimberenana ny mpamaritra ny rafitra rehetra (NtQuerySystemInformation miaraka amin'ny adihevitra SystemExtendedHandleInformation) ary manamarina raha mifanaraka izy ireo PID descriptor ary PID DINGANA WinWord ary raha nosokafana tamin'ny saron-tava fidirana ny antontan-taratasy - 0x12019F.
Mba hanamafisana fa hita ny tantana marina (fa tsy ny tahon'ny antontan-taratasy misokatra hafa), dia aseho amin'ny fampiasana ny fiasa ny votoatin'ny rakitra. CreateFileMapping, ary ny shellcode dia manamarina raha mifanandrify ireo bytes efatra farany amin'ny rakitra "yyyy» (fomba fihazana atody). Raha vao hita ny lalao dia adika amin'ny lahatahiry vonjimaika (GetTempPath) Ahoana ole.dll. Avy eo dia vakiana ny 12 bytes farany amin'ny rakitra.
Sary 5. Famantarana ny antontan-taratasy
32-bit sanda eo anelanelan'ny marika AABBCCDD и yyyy dia ny offset ny shellcode manaraka. Antsoina hoe misy asa CreateThread. Nalaina ny kaody akorandriaka nampiasain'ny vondrona OceanLotus teo aloha. , izay navoakanay tamin'ny martsa 2018, dia mbola mihazakazaka amin'ny fanariam-pako dingana faharoa.
Ny dingana faharoa
Extracting Components
Ny anaran'ny rakitra sy ny lahatahiry dia voafantina mavitrika. Ny kaody dia misafidy kisendrasendra ny anaran'ny rakitra azo tanterahana na DLL C:Windowssystem32. Manao fangatahana amin'ny loharanon-karenany izy avy eo ary maka ny saha FileDescription ampiasaina ho anaran'ny lahatahiry. Raha tsy mandeha izany, dia mifidy anarana fampirimana avy amin'ny lahatahiry ny code %ProgramFiles% na C:Windows (avy amin'ny GetWindowsDirectoryW). Misoroka ny fampiasana anarana mety mifanipaka amin'ny rakitra efa misy izy io ary manome antoka fa tsy misy ireto teny manaraka ireto: windows, Microsoft, desktop, system, system32 na syswow64. Raha efa misy ny lahatahiry dia ampiarahina amin'ny anarana ny "NLS_{6 tarehin-tsoratra}".
loharano 0x102 nozaraina ary nariana tao ny rakitra %ProgramFiles% na %AppData%, mankany amin'ny lahatahiry voafantina kisendrasendra. Niova ny fotoana famoronana mba hanana sanda mitovy amin'ny kernel32.dll.
Ohatra, eto ny lahatahiry sy ny lisitry ny rakitra noforonina tamin'ny fisafidianana ny executable C:Windowssystem32TCPSVCS.exe ho loharanom-baovao.
Sary 6. Fitrandrahana singa isan-karazany
Rafitra loharanon-karena 0x102 amin'ny dropper dia tena sarotra. Raha fintinina dia misy:
- anaran-drakitra
- Haben'ny rakitra sy ny atiny
- endrika famatrarana (COMPRESSION_FORMAT_LZNT1ampiasain'ny asa RtlDecompressBuffer)
Ny rakitra voalohany dia nariana toy ny TCPSVCS.exe, izay ara-dalàna AcroTranscoder.exe (araka ny FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
Mety ho voamarikao fa ny rakitra DLL sasany dia lehibe noho 11MB. Izany dia satria misy buffer lehibe mifanakaiky amin'ny angon-drakitra kisendrasendra napetraka ao anatin'ny executable. Mety ho fomba iray hialana amin'ny fisavana amin'ny vokatra fiarovana sasany izany.
Miantoka ny fikirizana
loharano 0x101 Ao amin'ny dropper dia misy integer 32-bit roa izay mamaritra ny fomba tokony hampiharana ny fikirizana. Ny sandan'ny voalohany dia mamaritra ny fomba hitohizan'ny malware tsy misy zon'ny mpitantana.
Tabilao 1. Mekanisma maharitra tsy misy mpitantana
Ny sandan'ny integer faharoa dia mamaritra ny fomba tokony hiantohan'ny malware ny faharetana amin'ny alàlan'ny fandehanana miaraka amin'ny tombontsoam-pitantanana.
Tabilao 2. Mekanisma faharetan'ny mpitantana
Ny anaran'ny serivisy dia ny anaran'ny rakitra tsy misy fanitarana; ny anaran'ny fampirimana dia ny anaran'ny lahatahiry, fa raha efa misy izany dia ny tady “Revision 1” (mitombo ny isa mandra-pahitana anarana tsy ampiasaina). Ny mpandraharaha dia nitandrina fa ny fikirizana amin'ny alàlan'ny serivisy dia maharitra - raha sendra tsy fahombiazana dia tsy maintsy averina ny serivisy rehefa afaka 1 segondra. Avy eo ny sanda WOW64 Ny fanalahidin'ny rejisitra vaovao ho an'ny serivisy dia napetraka amin'ny 4, izay manondro fa serivisy 32-bit ity.
Ny asa voalamina dia noforonina amin'ny alàlan'ny COM interfaces maromaro: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. Amin'ny ankapobeny, ny malware dia mamorona asa miafina, mametraka ny mombamomba ny kaonty miaraka amin'ny mombamomba ny mpampiasa na ny mpitantana ankehitriny, ary avy eo mametraka ny trigger.
Izany dia asa isan'andro izay maharitra 24 ora sy elanelana eo anelanelan'ny hazakazaka roa 10 minitra, izay midika fa handeha tsy tapaka.
Malicious Bit
Amin'ny ohatra ataontsika, ny executable TCPSVCS.exe (AcroTranscoder.exe) dia rindrambaiko ara-dalàna izay mameno ny DLL izay nariana miaraka aminy. Amin'ity tranga ity dia mahaliana Flash Video Extension.dll.
Ny asany DLLMain miantso asa hafa fotsiny. Misy karazana predicates sasany:
Sary 7. Predicate fuzzy
Aorian'ireo fisavana mamitaka ireo dia mahazo fizarana iray ny kaody .text rakitra TCPSVCS.exe, manova ny fiarovany ho PAGE_EXECUTE_READWRITE ary soratana amin'ny toromarika adaladala:
Sary 8. Filaharan'ny toromarika
Any amin'ny faran'ny adiresin'ny asa FLVCore::Uninitialize(void), aondrana Flash Video Extension.dll, ampiana ny toromarika CALL. Midika izany fa aorian'ny fametrahana ny DLL ratsy, rehefa miantso ny runtime WinMain в TCPSVCS.exe, hanondro ny NOP ny tondro torolalana, ka miteraka fiantsoana FLVCore::Uninitialize(void), dingana manaraka.
Ny fiasa dia mamorona mutex fotsiny manomboka amin'ny {181C8480-A975-411C-AB0A-630DB8B0A221}arahin'ny solon'anarana ankehitriny. Avy eo dia mamaky ny rakitra *.db3 nariana, izay misy kaody tsy miankina amin'ny toerana, ary ampiasaina CreateThread manatanteraka votoaty.
Ny votoatin'ny rakitra *.db3 dia ny shellcode izay matetika ampiasain'ny ekipa OceanLotus. Nahomby indray izahay nanala ny entany tamin'ny fampiasana ny script emulator navoakanay. .
Ny script dia mamerina ny dingana farany. Ity singa ity dia varavarana ambadika izay efa nodinihinay . Izany dia azo faritana amin'ny alalan'ny GUID {A96B020F-0000-466F-A96D-A91BBF8EAC96} rakitra binary. Mbola voarakotra ao amin'ny loharano PE ny fanamafisana malware. Mitovitovy ihany ny fandrindrana azy, saingy tsy mitovy amin'ny teo aloha ny mpizara C&C:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
Ny vondrona OceanLotus indray dia mampiseho fitambarana teknika isan-karazany hisorohana ny fisavana. Niverina izy ireo niaraka tamin'ny tetika "vita" momba ny fizotry ny aretina. Amin'ny alàlan'ny fisafidianana anarana kisendrasendra sy famenoana ny executable amin'ny angon-drakitra kisendrasendra, dia mampihena ny isan'ny IoC azo itokisana izy ireo (mifototra amin'ny hash sy ny anaran-drakitra). Ambonin'izany, amin'ny alàlan'ny fampiasana entana DLL antoko fahatelo, ny mpanafika dia mila manala ny binary ara-dalàna AcroTranscoder.
Arisiva fakana tena
Taorian'ny rakitra RTF dia nifindra tany amin'ny arisivan'ny self-extracting (SFX) miaraka amin'ny kisary antontan-taratasy mahazatra ilay vondrona mba hanakorontanana bebe kokoa ny mpampiasa. Nanoratra momba izany ny Threatbook (). Rehefa manomboka dia ariana ny rakitra RAR maka ny tena ary ny DLL miaraka amin'ny fanitarana .ocx dia novonoina, ny karama farany dia voarakitra an-tsoratra teo aloha. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. Nanomboka tamin'ny tapaky ny volana janoary 2019, dia nampiasa indray ity teknika ity i OceanLotus, saingy nanova ny fanitsiana sasany rehefa nandeha ny fotoana. Amin'ity fizarana ity dia hiresaka momba ny teknika sy ny fiovana isika.
Mamorona fandrika
Ny antontan-taratasy THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (sha-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) dia hita voalohany tamin'ny taona 2018. Ity rakitra SFX ity dia noforonina miaraka amin'ny saina - amin'ny famaritana (Fampahalalana momba ny kinova) milaza fa sary JPEG io. Toy izao ny script SFX:
Sary 9. Didy SFX
Miverina indray ny malware {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (sha-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), ary koa ny sary 2018 thich thong lac.jpg.
Toy izao ny sary fandokoana:
Sary 10. Sary decoy
Mety ho voamarikao fa ny andalana roa voalohany amin'ny script SFX dia miantso ny rakitra OCX indroa, saingy tsy fahadisoana izany.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
Mitovitovy amin'ny singa OceanLotus hafa ny fikorianan'ny rakitra OCX - filaharan'ny baiko maro JZ/JNZ и PUSH/RETmifamatotra amin'ny code junk.
Sary 11. Kaody obfuscated
Taorian'ny sivana ny kaody fako, ny fanondranana DllRegisterServer, antsoina regsvr32.exe, toy izao manaraka izao:
Sary 12. Kaody installer lehibe
Amin'ny ankapobeny, ny fotoana voalohany hiantsoanao DllRegisterServer ny fanondranana dia mametraka ny sandan'ny rejisitra HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model ho an'ny offset encrypted ao amin'ny DLL (0x10001DE0).
Rehefa antsoina fanindroany ilay asa, dia mamaky sanda mitovy izy ary manatanteraka amin'io adiresy io. Avy eto dia vakiana sy tanterahina ny loharano, ary hetsika maro no atao amin'ny RAM.
Ny shellcode dia ilay loader PE mitovy amin'ny nampiasaina tamin'ny fampielezan-kevitra OceanLotus taloha. Azo alain-tahaka amin'ny . Amin'ny farany dia mianjera izy db293b825dcc419ba7dc2c49fa2757ee.dll, mampiditra azy ao anaty fitadidiana ary manatanteraka DllEntry.
Ny DLL dia mamoaka ny votoatin'ny loharanony, manafoana (AES-256-CBC) ary manafoana (LZMA) azy. Ny loharanon-karena dia manana endrika manokana izay mora decompile.
Sary 13. Firafitry ny fanamafisana installer (KaitaiStruct Visualizer)
Apetraka mazava ny fandrindrana - miankina amin'ny haavon'ny tombontsoa, ny angon-drakitra binary dia hosoratana %appdata%IntellogsBackgroundUploadTask.cpl na %windir%System32BackgroundUploadTask.cpl (na SysWOW64 ho an'ny rafitra 64-bit).
Ny fikirizana fanampiny dia azo antoka amin'ny famoronana asa nomena anarana BackgroundUploadTask[junk].jobizay [junk] dia andian-bytes 0x9D и 0xA0.
Anaran'ny fampiharana asa %windir%System32control.exe, ary ny sandan'ny parameter dia ny lalana mankany amin'ny rakitra binary alaina. Ny asa miafina dia mandeha isan'andro.
Raha ara-drafitra, ny rakitra CPL dia DLL misy anarana anatiny ac8e06de0a6c4483af9837d96504127e.dll, izay manondrana ny asa CPlApplet. Ity rakitra ity dia mamadika ny hany loharanony {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, dia asio ilay DLL ary antsoy ny fanondranany tokana DllEntry.
Fichier configuration backdoor
Ny rafitra backdoor dia miafina ary tafiditra ao anatin'ny loharanony. Ny firafitry ny fisie fichier dia tena mitovy amin'ny teo aloha.
Sary 14. Firafitry ny fanamboarana varavarana aoriana (KaitaiStruct Visualizer)
Na dia eo aza ny rafitra mitovy, ny sandan'ny sehatra maro dia nohavaozina raha oharina amin'ny angon-drakitra aseho ao .
Ny singa voalohany amin'ny array binary dia misy ny DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), . Saingy satria nesorina tao amin'ny binary ny anaran'ny fanondranana dia tsy mifanentana ny hash.
Fikarohana fanampiny
Manangona santionany, dia nitandrina ny sasany toetra. Ny santionany vao nofaritana dia niseho tamin'ny Jolay 2018, ary ny hafa toa azy dia niseho vao haingana, tamin'ny tapaky ny Janoary - fiandohan'ny Febroary 2019. Ny tahiry SFX dia nampiasaina ho virosy otrikaretina, nandatsaka antontan-taratasy fandokoana ara-dalàna sy rakitra OCX ratsy.
Na dia mampiasa mari-pamantarana hosoka aza ny OceanLotus, dia tsikaritray fa mitovy foana ny famantaranandron'ny rakitra SFX sy OCX (0x57B0C36A (08/14/2016 @ 7:15 hariva UTC) ary 0x498BE80F (02/06/2009 @ 7:34 maraina UTC). Izany angamba dia manondro fa ny mpanoratra dia manana karazana "mpanorina" izay mampiasa modely mitovy ary manova ny toetra sasany.
Anisan'ireo antontan-taratasy nodinihinay hatramin'ny fiandohan'ny taona 2018, misy anarana isan-karazany manondro ireo firenena mahaliana:
- Ny vaovao mifandray amin'ny Cambodia Media(New).xls.exe
- 李建香 (个人简历).exe (doc pdf sandoka amin'ny CV)
- fanehoan-kevitra, Rally any Etazonia ny 28-29 Jolay 2018.exe
Hatramin'ny nahitana ny backdoor {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll ary ny famoahan'ny mpikaroka maromaro ny famakafakana azy, dia nahita fiovana sasantsasany tamin'ny angon-drakitra fikirakirana malware izahay.
Voalohany, nanomboka nanala anarana avy amin'ny DLL DLL mpanampy ny mpanoratra (DNSprov.dll ary dikan-teny roa HttpProv.dll). Avy eo dia najanon'ny mpandraharaha ny famonosana ny DLL fahatelo (dikan-teny faharoa HttpProv.dll), misafidy ny hampiditra iray fotsiny.
Faharoa, maro ny sehatra fanamafisana backdoor no niova, angamba mba hialana amin'ny fisavana satria maro ny IoCs efa misy. Anisan'ireo sehatra manan-danja novain'ny mpanoratra ireto manaraka ireto:
- nanova ny lakilen'ny rejisitra AppX (jereo IoCs)
- mutex encoding string ("def", "abc", "ghi")
- laharana seranana
Farany, ny dikan-teny vaovao rehetra nodinihina dia manana C&C vaovao voatanisa ao amin'ny fizarana IoCs.
hitany
Mitohy mivoatra ny OceanLotus. Ny vondrona cyber dia mifantoka amin'ny fanadiovana sy fanitarana ireo fitaovana sy fandrika. Ny mpanoratra dia manafina ny enta-mavesatra maloto miaraka amin'ny antontan-taratasy manintona ny saina izay mifandraika amin'ireo niharam-boina. Mamorona faritra vaovao izy ireo ary mampiasa fitaovana ampahibemaso toy ny fanararaotana ny Equation Editor. Ankoatr'izay, manatsara ny fitaovana hampihenana ny isan'ny artifact tavela amin'ny masinin'ireo niharam-boina izy ireo, ka mampihena ny mety ho hitan'ny rindrambaiko antivirus.
Famantarana ny marimaritra iraisana
Ireo famantarana ny marimaritra iraisana ary koa ny toetra MITRE ATT&CK dia misy и .
Source: www.habr.com