I roto i te panui, ka korerotia e matou ki a koe me pehea te whakamahi a te roopu ipurangi OceanLotus (APT32 me APT-C-00) i tetahi o nga mahi e waatea ana mo te iwi.
He tohunga a OceanLotus ki te torotoro ipurangi, ko nga whenua o te tonga-tonga o Ahia te whaainga matua. Ka hangaia e te hunga whakaeke nga tuhinga e kukume ana i te aro o te hunga kua paopao ki te whakatenatena i a ratou ki te kawe i te kuaha o muri, me te mahi hoki ki te whakawhanake taputapu. Ko nga tikanga e whakamahia ana ki te hanga honeypots he rereke i nga whakaeke rereke - mai i nga konae "whakaroa-rua", nga kohinga tango-whaiaro, tuhinga tonotono, ki nga mahi rongonui.
Te whakamahi i te mahi i roto i te Microsoft Equation Editor
I waenganui o 2018, i whakahaerehia e OceanLotus tetahi kaupapa e whakamahi ana i te whakaraeraetanga CVE-2017-11882. Ko tetahi o nga tuhinga kino o te roopu ipurangi i tātarihia e 360 Threat Intelligence Center tohunga (
Ko te waahi tuatahi
Te tuhinga FW Report on demonstration of former CNRP in Republic of Korea.doc
(sha-1: D1357B284C951470066AAA7A8228190B88A5C7C3
) he rite ki tera i whakahuahia i te rangahau i runga ake nei. He mea whakamere na te mea e aro ana ki nga kaiwhakamahi e aro nui ana ki nga mahi torangapu o Cambodia (CNRP - Cambodia National Salvation Party, kua whakakorehia i te mutunga o te tau 2017). Ahakoa te toronga .doc, kei te whakatakotoranga RTF te tuhinga (tirohia te ahua i raro nei), kei roto he waehere paraurehe, a kua hee hoki.
Whakaahua 1. Parapara kei RTF
Ahakoa te ahua o nga huānga hee, i pai te whakatuwhera a Word i tenei konae RTF. Kei te kite koe i te Whakaahua 2, kei konei he hanganga EQNOLEFILEHDR i te 0xC00 kua whai muri i te pane MTEF me te urunga MTEF (Whakaahua 3) mo te momotuhi.
Whakaahua 2. FONT Record Uara
Whakaatu 3.
Ka puhakehia te mara ingoa, na te mea kaore i tirohia tona rahi i mua i te kape. He roa rawa te ingoa ka whakaraerae. Ka kitea e koe mai i nga ihirangi o te konae RTF (offset 0xC26 i te Whakaahua 2), ka whakakiia te parepare ki te shellcode whai muri mai i te whakahau puhoi (0x90
) me te wahitau whakahoki 0x402114
. Ko te wahitau he huānga korero kei roto EQNEDT32.exe
tohu ki nga tohutohu RET
. Ma tenei ka tohu a EIP ki te timatanga o te mara ingoaKei roto te shellcode.
Whakaatu 4. Te timatanga o te whakamahi shellcode
Wāhitau 0x45BD3C
pupuru ana i tetahi taurangi ka whakakorehia kia tae ra ano ki tetahi tohu ki te hanganga kua utaina inaianei MTEFData
. Anei te toenga o te shellcode.
Ko te kaupapa o te shellcode he mahi i te waahanga tuarua o te shellcode kua mau ki te tuhinga tuwhera. Tuatahi, ka ngana te shellcode taketake ki te kimi i te kaiwhakaahua konae o te tuhinga tuwhera ma te huri haere i nga kaiwhakaahua punaha katoa (NtQuerySystemInformation
me te tautohetohe SystemExtendedHandleInformation
) me te tirotiro mena e rite ana PID whakaahua me PID tukanga WinWord
me te mea i whakatuwherahia te tuhinga me te arai uru - 0x12019F
.
Hei whakaū i kitea te kakau tika (kaore ko te kakau o tetahi atu tuhinga tuwhera), ka whakaatuhia nga ihirangi o te konae ma te whakamahi i te mahi CreateFileMapping
, ka tirotirohia e te shellcode mena ka rite nga paita whakamutunga e wha o te tuhinga "yyyy
» (Egg Hunting tikanga). Kia kitea he ōritenga, ka tāruahia te tuhinga ki tētahi kōpaki rangitahi (GetTempPath
) Pehea ole.dll
. Katahi ka panuitia nga paita 12 whakamutunga o te tuhinga.
Whakaahua 5. Nga Tohu Whakamutunga-o-Tuhinga
32-bit uara i waenga i nga tohu AABBCCDD
и yyyy
Ko te whakatiki o te shellcode e whai ake nei. Ka karangahia me tetahi mahi CreateThread
. He mea tango i te peepee anga i whakamahia e te roopu OceanLotus i mua.
Ko te waahanga tuarua
Tangohanga Wae
Ko nga ingoa konae me nga ingoa whaiaronga ka kowhiria. Ka whiriwhiri matapōkeretia e te waehere te ingoa o te konae DLL ka taea te whakahaere C:Windowssystem32
. Kātahi ka tono tono ki ana rauemi ka tikina te mara FileDescription
hei whakamahi hei ingoa kōpaki. Ki te kore e mahi, ka kowhiri matapōkeretia e te waehere he ingoa kōpaki mai i ngā whaiaronga %ProgramFiles%
ranei C:Windows
(mai i GetWindowsDirectoryW). Ka karohia e ia te whakamahi ingoa ka taupatupatu pea ki nga konae o mua me te whakarite kia kore e mau nga kupu e whai ake nei: windows
, Microsoft
, desktop
, system
, system32
ranei syswow64
. Mēnā kei te noho kē te whaiaronga, "NLS_{6 pūāhua}" ka āpitihia ki te ingoa.
rauemi 0x102
kua poroa ka makahia nga konae ki roto %ProgramFiles%
ranei %AppData%
, ki te kōpaki i tīpakohia matapōkeretia. I huri te wa hanga kia rite ki nga uara kernel32.dll
.
Hei tauira, koinei te kōpaki me te raarangi o nga konae i hangaia ma te kowhiri i te kaakaha C:Windowssystem32TCPSVCS.exe
hei puna raraunga.
Whakaahua 6. Te tangohanga o nga momo waahanga
Hanganga Rauemi 0x102
i roto i te dropper he tino uaua. I roto i te poto, kei roto:
- ingoa kōnae
— Rahi kōnae me te ihirangi
— Hōputu kōpeketanga (COMPRESSION_FORMAT_LZNT1
whakamahia e te mahi RtlDecompressBuffer
)
Ka makahia te konae tuatahi hei TCPSVCS.exe
, he mea tika AcroTranscoder.exe
(e ai ki FileDescription
, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3
).
Kua kite pea koe he nui ake etahi konae DLL i te 11MB. Ko te mea tenei na te mea he nui te piripono o nga raraunga matapōkere ka tuu ki roto i te mahi. Ka taea pea he huarahi tenei hei karo i te kitea e etahi hua haumaru.
Te whakarite kia mau tonu
rauemi 0x101
kei roto i te maturuturunga iho e rua nga tauoti moka-32 e tohu ana me pehea te whakakaha i te tohenga. Ko te uara o te tuatahi e whakaatu ana me pehea te mau tonu o te malware me te kore mana whakahaere.
Ripanga 1. Kore-Kaiwhakahaere Mahi Tonu
Ko te uara o te tauoti tuarua e whakaatu ana me pehea e whakarite ai te malware kia mau tonu ma te whakahaere me nga mana whakahaere.
Ripanga 2. Te Whakahaere Tonu Kaiwhakahaere
Ko te ingoa ratonga ko te ingoa kōnae kaore he toronga; ko te ingoa whakaatu ko te ingoa o te kōpaki, engari mena kei te noho tonu, ko te aho “Revision 1
” (ka piki ake te nama kia kitea ra ano he ingoa kore i whakamahia). I mahara nga kaiwhakahaere kia mau tonu te manawanui i roto i te ratonga - mena he rahua, me whakaara ano te ratonga i muri i te 1 hēkona. Katahi te uara WOW64
Ko te taviri rehita hou mo te ratonga kua tautuhia ki te 4, e tohu ana he ratonga 32-bit tenei.
Ka hangaia he mahi kua whakaritea ma te maha o nga atanga COM: ITaskScheduler
, ITask
, ITaskTrigger
, IPersistFile
и ITaskScheduler
. Ko te tikanga, ka hangaia e te malware he mahi huna, ka tautuhi i nga korero kaute me nga korero mo te kaiwhakamahi, kaiwhakahaere ranei o naianei, katahi ka tautuhi i te keu.
He mahi tenei o ia ra me te 24 haora te roa me nga waahi i waenga i nga oma e rua mo te 10 meneti, ko te tikanga ka rere tonu.
Moka kino
I roto i to tatou tauira, te executable TCPSVCS.exe
(AcroTranscoder.exe
) he raupaparorohiko tika e uta ana i nga DLL ka tukuna ki a ia. I roto i tenei take, he painga Flash Video Extension.dll
.
Ko tana mahi DLLMain
ka karanga noa i tetahi atu mahi. Anei etahi o nga tohu karekau:
Whakaahua 7. Ko nga tohu o mua
I muri i enei arowhai pohehe, ka whiwhi te waehere i tetahi waahanga .text
konae TCPSVCS.exe
, ka huri tona whakamarumaru ki PAGE_EXECUTE_READWRITE
ka tuhiruatia ki nga tohutohu pohehe:
Whakaahua 8. Te raupapa o nga tohutohu
I te mutunga ki te wahitau o te mahi FLVCore::Uninitialize(void)
, kaweake Flash Video Extension.dll
, ka taapirihia te tohutohu CALL
. Ko te tikanga tenei i muri i te utaina o te DLL kino, i te wa e waea ana te wa whakahaere WinMain
в TCPSVCS.exe
, ka tohu te tohu tohutohu ki te NOP, ka puta te waea FLVCore::Uninitialize(void)
, te wahanga o muri.
Ka hanga noa e te mahi he mutex ka timata ki te {181C8480-A975-411C-AB0A-630DB8B0A221}
whai muri ko te ingoa kaiwhakamahi o naianei. Ka panuitia te konae *.db3 kua makahia, kei roto te waehere tuunga-motuhake, me nga whakamahinga CreateThread
ki te mahi ihirangi.
Ko te ihirangi o te kōnae *.db3 ko te shellcode e whakamahia ana e te roopu OceanLotus. I angitu ano matou ki te whakakore i tana utu ma te whakamahi i te tuhinga emulator i whakaputaina e matou.
Ka tangohia e te tuhinga te waahanga whakamutunga. Ko tenei waahanga he kuaha o muri kua oti kee taatau ki te tātari {A96B020F-0000-466F-A96D-A91BBF8EAC96}
kōnae rua. Kei te whakamunatia tonu te whirihoranga malware i roto i te rauemi PE. He rite tonu te whirihoranga, engari he rereke nga kaitoro C&C ki o mua:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
Ka whakaatu ano te roopu OceanLotus i te huinga o nga tikanga rereke kia kore e kitea. I hoki mai ratou me te kaupapa "kua oti" o te tukanga mate. Ma te kowhiri i nga ingoa matapōkere me te whakakī i nga kaikawe ki nga raraunga matapōkere, ka whakaitihia te maha o nga IoC pono (i runga i nga tohu me nga ingoa ingoa). I tua atu, ma te whakamahi i te uta DLL tuatoru, me tango noa e nga kaiwhaiwhai te tohu-rua tika AcroTranscoder
.
Pūranga tango whaiaro
Whai muri i nga konae RTF, ka huri te roopu ki nga kohinga tango-whaiaro (SFX) me nga tohu tuhinga noa hei whakapoauau i te kaiwhakamahi. I tuhia e te pukapuka riri ({A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
. Mai i waenganui o Hanuere 2019, kei te whakamahi ano a OceanLotus i tenei tikanga, engari ka huri etahi whirihoranga i roto i te waa. I tenei wahanga, ka korero tatou mo nga tikanga me nga huringa.
Te hanga mahanga
Te tuhinga THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE
(sha-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB
) i kitea tuatahi i te tau 2018. I hangaia tenei konae SFX me te hinengaro - i roto i te whakaahuatanga (Mōhiohio Putanga) e kii ana he ahua JPEG. He penei te ahua o te tuhinga SFX:
Whakaahua 9. Nga Whakahau SFX
Ka tautuhi ano te malware {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx
(sha-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC
), me tetahi pikitia 2018 thich thong lac.jpg.
He penei te ahua o te ahua whakapati:
Whakaahua 10. Whakaahua Whakapaipai
Kua kite pea koe ko nga rarangi tuatahi e rua i roto i te tuhinga SFX ka karanga rua te konae OCX, engari ehara tenei i te he.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
Ko te rere mana o te konae OCX he tino rite ki etahi atu waahanga OceanLotus - he maha nga raupapa whakahau JZ/JNZ
и PUSH/RET
kua honoa ki te waehere paraurehe.
Whakaahua 11. Waehere whakapouri
I muri i te tātari i te waehere paru, te kaweake DllRegisterServer
, ka karanga regsvr32.exe
, penei:
Whakaatu 12. Waehere whakauru matua
Ko te tikanga, ko te wa tuatahi ka waea koe DllRegisterServer
kaweake ka whakatakoto uara rehita HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model
mo te whakamuna i te wahikē i DLL (0x10001DE0
).
Ina karangahia te mahi mo te wa tuarua, ka panuihia te uara kotahi ka mahia ki taua wahitau. Mai i konei, ka panuihia, ka mahia te rauemi, a he maha nga mahi ka mahia i roto i te RAM.
Ko te shellcode he rite tonu te kaiuta PE i whakamahia i nga kaupapa o mua a OceanLotus. Ka taea te peehi me db293b825dcc419ba7dc2c49fa2757ee.dll
, ka utaina ki te mahara ka mahia DllEntry
.
Ka tangohia e te DLL nga ihirangi o tana rauemi, ka wetewete (AES-256-CBC) me te whakaheke (LZMA). He whakatakotoranga motuhake to te rauemi he ngawari ki te whakahiato.
Whakaatu 13. Hanganga whirihoranga Kaihanga (KaitaiStruct Visualizer)
Kua tautuhia te whirihoranga - i runga i te taumata mana, ka tuhia nga raraunga rua ki %appdata%IntellogsBackgroundUploadTask.cpl
ranei %windir%System32BackgroundUploadTask.cpl
(ranei SysWOW64
mo nga punaha 64-bit).
Ko te tohe tonu ka whakamanahia ma te hanga i tetahi mahi kua whakaingoatia BackgroundUploadTask[junk].job
te wahi [junk]
he huinga paita 0x9D
и 0xA0
.
Ingoa tono mahi %windir%System32control.exe
, a ko te uara o te tawhā ko te ara ki te konae rua kua tangohia. Ka haere te mahi huna ia ra.
Ko te hanganga, he DLL te konae CPL me te ingoa o roto ac8e06de0a6c4483af9837d96504127e.dll
, ka kaweake i te mahi CPlApplet
. Ka wetemuna tenei kōnae i tana rauemi anake {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
, ka utaina taua DLL ka karangahia tana kaweake anake DllEntry
.
Kōnae whirihoranga o muri
Ko te whirihoranga o muri kua whakamunatia me te whakauru ki roto i ona rauemi. Ko te hanganga o te konae whirihoranga he tino rite ki te waa o mua.
Whakaahua 14. Hanganga whirihoranga o muri (KaitaiStruct Visualizer)
Ahakoa te ahua rite, kua whakahoutia nga uara o te maha o nga mara kua whakaritea ki nga raraunga e whakaatuhia ana i roto
Ko te huānga tuatahi o te huinga takirua kei roto te DLL (HttpProv.dll
MD5: 2559738D1BD4A999126F900C7357B759
),
Rangahau Tāpiri
Ko te kohikohi tauira, i aro matou ki etahi ahuatanga. Ko te tauira i whakaahuahia ake nei i puta i te marama o Hurae 2018, me etahi atu penei i puta ake nei, i waenganui o Hanuere - i te timatanga o Hui-tanguru 2019. I whakamahia he purongo SFX hei kawe mate, ka taka he tuhinga tinihanga tika me tetahi konae OCX kino.
Ahakoa te whakamahi a OceanLotus i nga tohu wa rūpahu, i kite matou he rite tonu nga tohu wa o nga konae SFX me OCX (0x57B0C36A
(08/14/2016 @ 7:15pm UTC) me 0x498BE80F
(02/06/2009 @ 7:34am UTC) ia. E tohu ana pea tenei he momo "kaihanga" nga kaituhi e whakamahi ana i nga tauira rite tonu ka huri noa etahi ahuatanga.
I roto i nga tuhinga i akohia e matou mai i te timatanga o te tau 2018, he maha nga ingoa e tohu ana i nga whenua whakaeke e pa ana:
- Ko nga Korero Whakapaa Hou o Cambodia Media(Hou).xls.exe
- 李建香 (个人简历).exe (tuhinga pdf rūpahu o te CV)
— urupare, Rally i USA mai i te Hōngongoi 28-29, 2018.exe
Mai i te kitenga o te kuaha o muri {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
me te whakaputanga o tana tātaritanga e etahi kairangahau, i kite matou i etahi huringa o nga raraunga whirihoranga malware.
Tuatahi, ka timata nga kaituhi ki te tango ingoa mai i nga DLL DLL kaiawhina (DNSprov.dll
me nga putanga e rua HttpProv.dll
). Na ka mutu nga kaiwhakahaere ki te tarai i te tuatoru DLL (putanga tuarua HttpProv.dll
), te whiriwhiri ki te whakauru i tetahi noa.
Tuarua, he maha nga mara whirihoranga o muri kua whakarereke, tera pea kia kore e kitea i te mea kua maha nga IoC kua waatea. I roto i nga waahanga nui i whakarerekehia e nga kaituhi ko enei e whai ake nei:
- kua hurihia te matua rehita AppX (tirohia nga IoC)
- aho whakawaehere mutex ("def", "abc", "ghi")
- tau tauranga
Ka mutu, ko nga putanga hou katoa kua tātarihia he C&C hou kua whakarārangihia ki te wāhanga IoC.
kitenga
Kei te whanake tonu a OceanLotus. Ko te roopu ipurangi e aro ana ki te whakamahine me te whakawhanui i nga taputapu me nga mahanga. Ka huna e nga kaituhi nga utu kino ki nga tuhinga kaikawe i te aro e pa ana ki te hunga kua mate. Ka whakawhanakehia e ratou nga waahi hou, ka whakamahi hoki i nga taputapu e waatea ana mo te iwi penei i te Equation Editor. I tua atu, kei te whakapai ake ratou i nga taputapu hei whakaiti i te maha o nga taonga toi e toe ana ki nga miihini a nga patunga, na reira ka whakaitihia te tupono ka kitea e te rorohiko wheori.
Nga tohu o te tauwehe
Kei te waatea nga tohu whakaraerae me nga huanga MITER ATT&CK
Source: will.com