Энэ нийтлэлд бид OceanLotus кибер бүлэглэл (APT32 ба APT-C-00) саяхан олон нийтэд нээлттэй мөлжлөгүүдийн нэгийг хэрхэн ашигласан талаар танд хэлэх болно. , Microsoft Office-ийн санах ойн эвдрэлийн эмзэг байдал, группын хортой програм нь эвдэрсэн системүүд дээр ул мөр үлдээлгүй тогтвортой ажиллахад хэрхэн хүрдэг талаар. Дараа нь бид 2019 оны эхнээс эхлэн тус бүлэг код ажиллуулахын тулд өөрөө задлах архивыг хэрхэн ашиглаж байгааг тайлбарлах болно.
OceanLotus нь кибер тагнуулын чиглэлээр мэргэшсэн бөгөөд тэргүүлэх зорилт нь Зүүн Өмнөд Азийн орнууд юм. Халдлага үйлдэгчид хохирогчдын анхаарлыг татсан баримт бичгүүдийг хуурамчаар үйлдэж, тэднийг арын хаалгыг гүйцэтгэхэд итгүүлэхийн зэрэгцээ багаж хэрэгсэл боловсруулахаар ажиллаж байна. Зөгийн бал үүсгэхэд ашигладаг аргууд нь "давхар өргөтгөлтэй" файлууд, өөрөө задлах архив, макро бүхий баримт бичиг, мэдэгдэж байгаа мөлжлөгүүд гэх мэт халдлагад янз бүр байдаг.
Microsoft Equation Editor-д exploit ашиглаж байна
2018 оны дундуур OceanLotus компани CVE-2017-11882 эмзэг байдлыг ашигласан кампанит ажил явуулсан. Кибер бүлгийн хорлонтой баримт бичгийн нэгийг 360 Threat Intelligence Center-ийн мэргэжилтнүүд шинжилжээ.), ашиглалтын нарийвчилсан тайлбарыг багтаасан. Доорх нийтлэл нь ийм хортой баримт бичгийн тоймыг агуулдаг.
Эхний шат
Баримт бичиг FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) нь дээрх судалгаанд дурдсантай төстэй. Энэ нь Камбожийн улс төрийг сонирхож буй хэрэглэгчдэд зориулагдсан тул сонирхолтой юм (CNRP - Камбожийн Үндэсний Аврах Нам, 2017 оны сүүлээр татан буугдсан). .doc өргөтгөлтэй хэдий ч баримт бичиг нь RTF форматтай (доорх зургийг харна уу), хог код агуулсан, мөн гажуудсан байна.
Зураг 1. RTF дахь "Хог"
Хэдийгээр эвдэрсэн элементүүд байгаа ч Word энэ RTF файлыг амжилттай нээдэг. Зураг 2-оос харахад офсет 0xC00 дээр EQNOLEFILEHDR бүтэц, дараа нь MTEF толгой, дараа нь фонтын хувьд MTEF оруулга (Зураг 3) байна.
Зураг 2. FONT оруулах утгууд
Зураг 3.
Талбайд хальж болзошгүй нэр, учир нь хуулахын өмнө түүний хэмжээг шалгадаггүй. Хэт урт нэр нь эмзэг байдлыг үүсгэдэг. RTF файлын агуулгаас харахад (Зураг 0-т 26xC2 офсет) буфер нь бүрхүүлийн кодоор дүүрч, дараа нь дамми команд (0x90) болон буцах хаяг 0x402114. Хаяг нь харилцах цонхны элемент юм EQNEDT32.exe, зааврыг заана RET. Энэ нь EIP нь талбайн эхлэлийг зааж өгдөг нэрбүрхүүлийн кодыг агуулсан.
Зураг 4. Exploit shellcode-ийн эхлэл
Хаяг 0x45BD3C одоо ачаалагдсан бүтэц рүү заагч хүрэх хүртэл хамааралгүй хувьсагчийг хадгалдаг MTEFData. Бүрхүүлийн кодын үлдсэн хэсэг энд байна.
Бүрхүүлийн кодын зорилго нь нээлттэй баримт бичигт суулгасан бүрхүүлийн кодын хоёр дахь хэсгийг гүйцэтгэх явдал юм. Анхны бүрхүүлийн код нь эхлээд бүх системийн тодорхойлогчийг давтах замаар нээлттэй баримт бичгийн файлын тодорхойлогчийг олохыг оролддог (NtQuerySystemInformation маргаантай SystemExtendedHandleInformation) болон тэдгээр нь таарч байгаа эсэхийг шалгана PID тодорхойлогч ба PID үйл явц WinWord мөн баримт бичгийг хандалтын маскаар нээсэн эсэх - 0x12019F.
Зөв бариулыг (өөр нээлттэй баримт бичгийн бариул биш) олсон эсэхийг баталгаажуулахын тулд функцийг ашиглан файлын агуулгыг харуулна. CreateFileMapping, мөн бүрхүүлийн код нь баримт бичгийн сүүлийн дөрвөн байт таарч байгаа эсэхийг шалгадаг "yyyy"(Өндөг агнах арга). Тохирох зүйл олсны дараа баримтыг түр хавтас руу хуулна (GetTempPath) Хэрхэн ole.dll. Дараа нь баримт бичгийн сүүлийн 12 байтыг уншина.
Зураг 5. Баримт бичгийн тэмдэглэгээний төгсгөл
Маркер хоорондын 32 битийн утга AABBCCDD и yyyy нь дараагийн бүрхүүлийн кодын офсет юм. Үүнийг функцийг ашиглан гэж нэрлэдэг CreateThread. Өмнө нь OceanLotus группын ашиглаж байсан бүрхүүлийн кодыг задалсан. , бидний 2018 оны XNUMX-р сард гаргасан XNUMX-р шатны хогийн цэг дээр ажиллаж байгаа.
Хоёр дахь шат
Бүрэлдэхүүн хэсгүүдийг арилгах
Файл болон директорийн нэрийг динамикаар сонгоно. Код нь гүйцэтгэх боломжтой эсвэл DLL файлын нэрийг санамсаргүй байдлаар сонгоно C:Windowssystem32. Дараа нь энэ нь нөөцдөө хүсэлт гаргаж, талбарыг татаж авдаг FileDescription фолдерын нэр болгон ашиглах. Хэрэв энэ нь ажиллахгүй бол код нь сангуудаас хавтасны нэрийг санамсаргүй байдлаар сонгоно %ProgramFiles% буюу C:Windows (из GetWindowsDirectoryW). Он избегает использования имени, которое может конфликтовать с существующими файлами, и следит за тем, чтобы оно не содержало следующие слова: windows, Microsoft, desktop, system, system32 буюу syswow64. Хэрэв лавлах аль хэдийн байгаа бол нэрэнд "NLS_{6 тэмдэгт}" хавсаргана.
нөөц 0x102 дүн шинжилгээ хийж, файлуудыг хаядаг %ProgramFiles% буюу %AppData%, санамсаргүй байдлаар сонгосон хавтас руу. Бүтээлийн цагийг ижил утгатай болгож өөрчилсөн kernel32.dll.
Жишээлбэл, энд гүйцэтгэх файлыг сонгосноор үүсгэсэн хавтас болон файлуудын жагсаалт байна C:Windowssystem32TCPSVCS.exe мэдээллийн эх сурвалж болгон.
Зураг 6. Төрөл бүрийн бүрэлдэхүүн хэсгүүдийг гаргаж авах
Нөөцийн бүтэц 0x102 дусаагуурт нэлээн төвөгтэй байдаг. Товчхондоо энэ нь дараахь зүйлийг агуулна.
- Файлын нэрс
- Файлын хэмжээ, агуулга
- Шахах формат (COMPRESSION_FORMAT_LZNT1, функцэд ашигладаг RtlDecompressBuffer)
Эхний файлыг дахин тохируулсан TCPSVCS.exe, энэ нь хууль ёсны юм AcroTranscoder.exe (дээр FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
Зарим DLL файлууд 11 МБ-аас их хэмжээтэй байгааг та анзаарсан байх. Учир нь гүйцэтгэгдэх файл дотор санамсаргүй өгөгдлийн том залгаа буфер байрладаг. Энэ нь зарим хамгаалалтын бүтээгдэхүүнд илрэхгүй байх арга байж болох юм.
Тууштай байдлыг хангах
нөөц 0x101 дусаагуурт 32 битийн хоёр бүхэл тоо агуулагдаж байгаа бөгөөд энэ нь тууштай байдлыг хэрхэн хангахыг зааж өгдөг. Эхний утга нь администраторын эрхгүйгээр хортой програм хэрхэн ажиллахыг зааж өгдөг.
Хүснэгт 1. Администраторын эрхгүй тууштай ажиллах механизм
Хоёрдахь бүхэл тооны утга нь администраторын эрхээр ажиллаж байх үед хортой програм хэрхэн тогтвортой ажиллах ёстойг тодорхойлдог.
Хүснэгт 2. Администраторын эрхтэй тууштай ажиллах механизм
Үйлчилгээний нэр нь өргөтгөлгүй файлын нэр юм; дэлгэцийн нэр нь хавтасны нэр боловч хэрэв энэ нь байгаа бол " гэсэн мөр хавсаргасан болноRevision 1” (ашиглагдаагүй нэр олдох хүртэл тоо нэмэгдэнэ). Операторууд үйлчилгээгээр дамжуулан тууштай ажиллахыг баталгаажуулсан - алдаа гарсан тохиолдолд үйлчилгээг 1 секундын дараа дахин эхлүүлэх шаардлагатай. Дараа нь үнэ цэнэ WOW64 Шинэ үйлчилгээний бүртгэлийн түлхүүрийг 4 гэж тохируулсан нь 32 битийн үйлчилгээ гэдгийг харуулж байна.
Төлөвлөсөн ажлыг хэд хэдэн COM интерфейсээр үүсгэнэ: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. Үндсэндээ хортой програм нь далд ажлыг үүсгэж, одоогийн хэрэглэгч эсвэл администраторын мэдээллийн хамт дансны мэдээллийг тохируулж, дараа нь гохыг тохируулдаг.
Энэ нь 24 цаг үргэлжилдэг өдөр тутмын ажил бөгөөд хоёр гүйцэтгэлийн хоорондох 10 минутын зайтай бөгөөд энэ нь тасралтгүй ажиллана гэсэн үг юм.
Хортой хэсэг
Бидний жишээнд, гүйцэтгэх файл TCPSVCS.exe (AcroTranscoder.exe) нь түүнтэй хамт дахин тохируулагдсан DLL файлуудыг ачаалдаг хууль ёсны програм хангамж юм. Энэ тохиолдолд энэ нь сонирхолтой юм Flash Video Extension.dll.
Түүний функц DLLMain зүгээр л өөр функцийг дууддаг. Зарим тодорхой бус предикатууд байдаг:
Зураг 7. Тодорхой бус предикатууд
Эдгээр төөрөгдүүлсэн шалгалтын дараа код нь нэг хэсгийг авдаг .text файл TCPSVCS.exe, хамгаалалтаа өөрчилдөг PAGE_EXECUTE_READWRITE мөн хуурамч зааварчилгааг нэмж дахин бичнэ:
Зураг 8. Зааврын дараалал
Төгсгөлд нь функцийн хаяг руу орно FLVCore::Uninitialize(void), экспортолсон Flash Video Extension.dll, заавар нэмсэн CALL. Энэ нь хортой DLL-г ачаалсны дараа ажиллах хугацаа дуудагдана гэсэн үг WinMain в TCPSVCS.exe, зааврын заагч нь NOP руу заах бөгөөд шалтгаан болно FLVCore::Uninitialize(void), дараагийн шат.
Функц нь зүгээр л -ээс эхлэн мутекс үүсгэдэг {181C8480-A975-411C-AB0A-630DB8B0A221}дараа нь одоогийн хэрэглэгчийн нэр. Дараа нь энэ нь байрлалаас хамааралгүй код агуулсан, хаягдсан *.db3 файлыг уншиж, ашигладаг CreateThread агуулгыг гүйцэтгэх.
*.db3 файлын агуулга нь OceanLotus бүлгийн ихэвчлэн ашигладаг бүрхүүлийн код юм. Бид нийтэлсэн эмулятор скриптийг ашиглан түүний ачааллыг дахин амжилттай задлав .
Скрипт нь эцсийн шатыг гаргаж авдаг. Энэ бүрэлдэхүүн хэсэг нь бид аль хэдийн дүн шинжилгээ хийсэн арын хаалга юм . Үүнийг GUID-ээр тодорхойлж болно {A96B020F-0000-466F-A96D-A91BBF8EAC96} хоёртын файл. Хортой програм хангамжийн тохиргоо нь PE нөөцөд шифрлэгдсэн хэвээр байна. Энэ нь ойролцоогоор ижил тохиргоотой боловч C&C серверүүд өмнөхөөсөө ялгаатай:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
OceanLotus-ийн баг илрүүлэхээс зайлсхийхийн тулд өөр өөр аргуудын хослолыг дахин харуулж байна. Тэд халдварын үйл явцын "цэвэршүүлсэн" диаграммтай буцаж ирэв. Санамсаргүй нэрийг сонгож, гүйцэтгэх файлуудыг санамсаргүй өгөгдлөөр дүүргэснээр найдвартай IoC-ийн тоог багасгадаг (хэш болон файлын нэр дээр үндэслэн). Түүнчлэн, гуравдагч талын DLL ачааллыг ашигласны ачаар халдагчид зөвхөн хууль ёсны хоёртын файлыг устгах хэрэгтэй. AcroTranscoder.
Өөрөө задлах архивууд
RTF файлуудын дараа групп хэрэглэгчдийг төөрөгдүүлэхийн тулд нийтлэг баримт бичгийн дүрс бүхий өөрөө задлах (SFX) архив руу шилжсэн. Threatbook энэ тухай бичсэн (). Эхлүүлсний дараа өөрөө задлах RAR файлуудыг устгаж, .ocx өргөтгөлтэй DLL файлуудыг ажиллуулдаг бөгөөд тэдгээрийн эцсийн ачааллыг өмнө нь баримтжуулсан байдаг. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. 2019 оны XNUMX-р сарын дундаас хойш OceanLotus энэ техникийг дахин ашиглаж байгаа боловч зарим тохиргоог цаг хугацааны явцад өөрчилсөн. Энэ хэсэгт бид техник, өөрчлөлтийн талаар ярих болно.
Төөрөгдлийг бий болгох
Баримт бичиг THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) анх 2018 онд олдсон. Энэ SFX файлыг ухаалгаар үүсгэсэн - тайлбар дээр (Хувилбарын мэдээлэл) энэ нь JPEG зураг гэж хэлж байна. SFX скрипт дараах байдалтай байна.
Зураг 9. SFX командууд
Хортой програмыг дахин тохируулна {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), түүнчлэн зураг 2018 thich thong lac.jpg.
Хуурамч зураг дараах байдалтай байна.
Зураг 10. Хуурамч дүрс
SFX скриптийн эхний хоёр мөр OCX файлыг хоёр удаа дуудаж байгааг та анзаарсан байх, гэхдээ энэ нь алдаа биш юм.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
OCX файлын хяналтын урсгал нь бусад OceanLotus бүрэлдэхүүн хэсгүүдтэй маш төстэй байдаг - олон тушаалын дараалал JZ/JNZ и PUSH/RET, хог хаягдлын кодоор ээлжлэн.
Зураг 11. Бүрхэгдсэн код
Хогийн кодыг шүүсний дараа экспорт хийнэ үү DllRegisterServer, дуудсан regsvr32.exe, дараах байдлаар харагдаж байна.
Зураг 12. Суулгагчийн үндсэн код
Үндсэндээ эхний дуудлага дээр DllRegisterServer экспорт нь бүртгэлийн утгыг тогтоодог HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model DLL-д шифрлэгдсэн офсет (0x10001DE0).
Функцийг хоёр дахь удаагаа дуудах үед ижил утгыг уншиж, тухайн хаягаар ажиллана. Эндээс RAM дахь нөөц болон олон үйлдлийг уншиж, гүйцэтгэдэг.
Бүрхүүлийн код нь өнгөрсөн OceanLotus кампанит ажилд ашигласан ижил PE дуудагч юм. Үүнийг ашиглан дуурайж болно . Эцэст нь тэр дахин тохируулна db293b825dcc419ba7dc2c49fa2757ee.dll, санах ойд ачаалж, гүйцэтгэдэг DllEntry.
DLL нь нөөцийнхөө агуулгыг задалж, кодыг тайлж (AES-256-CBC) болон задлах (LZMA). Нөөц нь задлахад хялбар тодорхой форматтай.
Зураг 13. Суулгагчийн тохиргооны бүтэц (KaitaiStruct Visualizer)
Тохиргоог тодорхой зааж өгсөн - давуу эрхээс хамааран хоёртын өгөгдлийг бичих болно %appdata%IntellogsBackgroundUploadTask.cpl буюу %windir%System32BackgroundUploadTask.cpl (эсвэл SysWOW64 64 битийн системд зориулагдсан).
Нэр бүхий даалгавар үүсгэх замаар цаашдын тууштай байдлыг хангана BackgroundUploadTask[junk].jobхаана [junk] байтын багцыг илэрхийлнэ 0x9D и 0xA0.
Даалгаврын програмын нэр %windir%System32control.exe, мөн параметрийн утга нь татаж авсан хоёртын файлын зам юм. Нуугдсан даалгавар нь өдөр бүр ажилладаг.
Бүтцийн хувьд CPL файл нь дотоод нэртэй DLL юм ac8e06de0a6c4483af9837d96504127e.dllфункцийг экспортлох CPlApplet. Энэ файл нь цорын ганц эх сурвалжаа тайлдаг {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, дараа нь энэ DLL-г ачаалж, түүний цорын ганц экспортыг дуудна DllEntry.
Арын хаалганы тохиргооны файл
Арын хаалганы тохиргоо нь шифрлэгдсэн бөгөөд нөөцөд суулгагдсан. Тохиргооны файлын бүтэц нь өмнөхтэй маш төстэй юм.
Зураг 14. Арын хаалганы тохиргооны бүтэц (KaitaiStruct Visualizer)
Бүтэц нь ижил төстэй хэдий ч талбарын олон утгыг харуулсанаас шинэчлэгдсэн .
Хоёртын массивын эхний элемент нь DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), . Гэхдээ экспортын нэрийг хоёртын тооноос хассан тул хэшүүд таарахгүй байна.
Нэмэлт судалгаа
Дээж цуглуулах явцад бид зарим шинж чанарыг анзаарсан. Саяхан тайлбарласан сорьц 2018 оны 2019-р сарын орчим гарч ирсэн бөгөөд үүнтэй төстэй бусад нь XNUMX оны XNUMX-р сарын дундаас XNUMX-р сарын эхээр гарч ирсэн. SFX архивыг халдварын вектор болгон ашиглаж, хууль ёсны хуурамч баримт бичиг болон хортой OSX файлыг устгасан.
OceanLotus нь хуурамч цагийн тэмдэг ашигладаг ч SFX болон OCX файлуудын цагийн тэмдэг нь үргэлж ижил байдгийг бид анзаарсан.0x57B0C36A (08/14/2016 @ 7:15 UTC) болон 0x498BE80F (02/06/2009 @ 7:34 UTC) тус тус). Энэ нь зохиогчид ижил загвар ашигладаг, зарим шинж чанарыг өөрчилдөг ямар нэгэн "дизайнер" байгааг илтгэж магадгүй юм.
2018 оны эхнээс бидний судалсан баримт бичгүүдийн дунд халдлага үйлдэгсдийн сонирхсон улсуудыг харуулсан янз бүрийн нэрс бий.
— Камбожийн хэвлэл мэдээллийн шинэ холбоо барих мэдээлэл(Шинэ).xls.exe
— 李建香 (个人简历).exe (CV-ийн хуурамч pdf баримт)
— санал хүсэлт, 28 оны 29-р сарын 2018-XNUMX-ний хооронд АНУ-д болсон ралли.exe
Арын хаалга олдсоноос хойш {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll мөн түүний дүн шинжилгээг хэд хэдэн судлаачид нийтлэхэд бид хортой програмын тохиргооны өгөгдөлд зарим өөрчлөлтийг ажиглав.
Эхлээд зохиогчид туслах DLL-ээс нэрийг устгаж эхэлсэн (DNSprov.dll ба хоёр хувилбар HttpProv.dll). Дараа нь операторууд гурав дахь DLL-г (хоёр дахь хувилбар) савлахаа больсон HttpProv.dll), зөвхөн нэгийг оруулахыг сонгох.
Хоёрдугаарт, арын хаалганы тохиргооны олон талбарыг өөрчилсөн бөгөөд олон IoC ашиглах боломжтой болсон тул илрүүлэхээс зайлсхийх магадлалтай. Зохиогчид өөрчилсөн чухал талбарууд нь:
- AppX бүртгэлийн түлхүүр өөрчлөгдсөн (IoC-г үзнэ үү)
- мутекс кодчилолын мөр ("def", "abc", "ghi")
- портын дугаар
Эцэст нь, дүн шинжилгээ хийсэн бүх шинэ хувилбарууд нь IoCs хэсэгт жагсаасан шинэ C&C-уудтай байна.
үр дүн нь
OceanLotus хөгжсөөр байна. Кибер бүлэг нь багаж хэрэгсэл, заль мэхийг сайжруулах, өргөжүүлэхэд чиглэгддэг. Зохиогчид хохирогчдод хамааралтай сэдэв нь анхаарал татахуйц баримт бичгүүдийг ашиглан хортой ачааг нуун дарагдуулдаг. Тэд шинэ схемүүдийг боловсруулж, Equation Editor exploit гэх мэт олон нийтэд нээлттэй хэрэгслүүдийг ашигладаг. Түүгээр ч зогсохгүй тэд хохирогчдын машин дээр үлдсэн олдворуудын тоог багасгах хэрэгслүүдийг сайжруулж, улмаар вирусны эсрэг программ хангамжаар илрүүлэх боломжийг багасгаж байна.
Бууйлтын үзүүлэлтүүд
Буултын үзүүлэлтүүд болон MITER ATT&CK шинж чанарууд байдаг и .
Эх сурвалж: www.habr.com
