ESET- OceanLotus Cybergroup Backdoor အတွက် ပို့ဆောင်မှုအစီအစဉ်အသစ်

ပို့စ်တွင်၊ OceanLotus ဆိုက်ဘာအဖွဲ့ (APT32 နှင့် APT-C-00) သည် မကြာသေးမီက လူသိရှင်ကြားရနိုင်သော အသုံးချမှုများထဲမှ တစ်ခုကို မည်သို့အသုံးပြုခဲ့သည်ကို ပြောပြပါမည်။ CVE-2017-11882Microsoft Office ရှိ memory ယိုယွင်းမှု အားနည်းချက်များနှင့် အဖွဲ့၏ malware များသည် ခြေရာခံမချန်ဘဲ အပေးအယူခံရသော စနစ်များပေါ်တွင် ဆက်လက်တည်မြဲနေစေရန် သေချာစေသည်။ ထို့နောက်၊ အဖွဲ့သည် 2019 ခုနှစ်အစပိုင်းမှစတင်၍ ကုဒ်ကိုဖွင့်ရန် မိမိကိုယ်တိုင် ထုတ်ယူထားသော မော်ကွန်းတိုက်များကို အသုံးပြုနေပုံကို ဖော်ပြထားပါသည်။

OceanLotus သည် ဆိုက်ဘာသူလျှိုလုပ်ခြင်းကို အထူးပြုပြီး ဦးစားပေးပစ်မှတ်များမှာ အရှေ့တောင်အာရှနိုင်ငံများဖြစ်သည်။ တိုက်ခိုက်သူများသည် နောက်ကွယ်မှ လုပ်ဆောင်ရန် စည်းရုံးသိမ်းသွင်းနိုင်ရန် ဖြစ်နိုင်ချေရှိသော သားကောင်များ၏ အာရုံစိုက်မှုကို ဆွဲဆောင်နိုင်သည့် စာရွက်စာတမ်းများကို အတုလုပ်ကာ ကိရိယာများ တီထွင်ရေးကိုလည်း လုပ်ဆောင်ကြသည်။ Honeypots ဖန်တီးရာတွင် အသုံးပြုသည့် နည်းလမ်းများသည် မတူညီသော တိုက်ခိုက်မှုများတွင် ကွဲပြားသည် - "နှစ်ထပ်တိုးချဲ့ခြင်း" ဖိုင်များ၊ ကိုယ်တိုင်ထုတ်ယူသည့် မော်ကွန်းတိုက်များ၊ မက်ခရိုစာရွက်စာတမ်းများ၊ လူသိများသော ထုတ်ယူမှုများအထိ။

Microsoft Equation Editor တွင် exploit ကိုအသုံးပြုခြင်း။

2018 နှစ်လယ်တွင် OceanLotus သည် CVE-2017-11882 အားနည်းချက်ကို အသုံးချကာ ကမ်ပိန်းတစ်ခု လုပ်ဆောင်ခဲ့သည်။ Cybergroup ၏ အန္တရာယ်ရှိသော စာရွက်စာတမ်းများထဲမှ တစ်ခုကို 360 Threat Intelligence Center မှ ကျွမ်းကျင်သူများက ခွဲခြမ်းစိတ်ဖြာခဲ့သည် (တရုတ်ဘာသာဖြင့်လေ့လာပါ။exploit ၏အသေးစိတ်ဖော်ပြချက်အပါအဝင်) ။ အောက်ဖော်ပြပါ ပို့စ်တွင် ထိုသို့သော အန္တရာယ်ရှိသော စာရွက်စာတမ်း၏ ခြုံငုံသုံးသပ်ချက်ပါရှိသည်။

ပထမအဆင့်

စာရွက်စာတမ်း FW Report on demonstration of former CNRP in Republic of Korea.doc (sha-1: D1357B284C951470066AAA7A8228190B88A5C7C3) သည် အထက်ဖော်ပြပါ လေ့လာမှု နှင့် ဆင်တူသည်။ ကမ္ဘောဒီးယားနိုင်ငံရေးကို စိတ်ဝင်စားသော သုံးစွဲသူများအတွက် ရည်ရွယ်သည် (CNRP - ကမ္ဘောဒီးယားအမျိုးသား ကယ်တင်ရေးပါတီ၊ 2017 နှစ်ကုန်တွင် ဖျက်သိမ်းခဲ့သည်)။ .doc တိုးချဲ့မှုရှိနေသော်လည်း၊ စာရွက်စာတမ်းသည် RTF ဖော်မတ် (အောက်ပုံတွင်ကြည့်ပါ)၊ အမှိုက်ကုဒ်ပါရှိပြီး ရှုပ်ပွနေပါသည်။

ပုံ 1. RTF ရှိ အမှိုက်

ပုံမမှန်သောဒြပ်စင်များရှိနေသော်လည်း Word သည် ဤ RTF ဖိုင်ကို အောင်မြင်စွာဖွင့်နိုင်သည်။ ပုံ 2 တွင်သင်တွေ့မြင်နိုင်သည်အတိုင်း၊ ဤနေရာတွင် အော့ဖ်ဆက် 0xC00 တွင် EQNOLEFILEHDR တည်ဆောက်ပုံသည် MTEF ခေါင်းစီးဖြင့်နောက်တွင် ဖောင့်အတွက် MTEF ထည့်သွင်းမှု (ပုံ 3) ဖြစ်သည်။

ပုံ 2. FONT တန်ဖိုးများကို မှတ်တမ်းတင်ပါ။

ပုံ 3 ။ FONT ရိုက်ကူးမှုပုံစံ

အကွက်များ ပြည့်လျှံလာနိုင်သည်။ နာမတျောကိုကူးယူခြင်းမပြုမီ ၎င်း၏အရွယ်အစားကို မစစ်ဆေးသောကြောင့်ဖြစ်သည်။ ရှည်လွန်းသောအမည်သည် အားနည်းချက်ကို အစပျိုးစေသည်။ RTF ဖိုင်၏ အကြောင်းအရာများ (ပုံ 0 တွင် offset 26xC2) မှ သင်တွေ့မြင်နိုင်သည်အတိုင်း၊ ကြားခံသည် shellcode နှင့် ပြည့်နေပြီး နောက်တွင် dummy command (0x90) လိပ်စာပြန်ပေးပါ။ 0x402114. လိပ်စာသည် ဒိုင်ယာလော့ဂ်ဒြပ်စင်တစ်ခုဖြစ်သည်။ EQNEDT32.exeညွှန်ကြားချက်များကို ညွှန်ပြသည်။ RET. ၎င်းသည် EIP နယ်ပယ်၏အစကို ညွှန်ပြစေသည်။ နာမတျောကိုshellcode ပါရှိပါသည်။

ပုံ 4။ exploit shellcode ၏အစ

လိပ်စာ 0x45BD3C လက်ရှိတင်နေသောဖွဲ့စည်းပုံသို့ ညွှန်ပြသည့်ညွှန်ပြချက်သို့ ရောက်သည်အထိ ရည်ညွှန်းထားသော ကိန်းရှင်တစ်ခုကို သိမ်းဆည်းထားသည်။ MTEFData. ဤတွင် shellcode ၏ကျန်ရှိသည်။

shellcode ၏ရည်ရွယ်ချက်မှာ open document တွင်ထည့်သွင်းထားသော shellcode ၏ဒုတိယအပိုင်းကိုလုပ်ဆောင်ရန်ဖြစ်သည်။ ပထမဦးစွာ၊ မူရင်း shellcode သည် system descriptors အားလုံးကို ထပ်လောင်းခြင်းဖြင့် open document ၏ file descriptor ကို ရှာရန်ကြိုးစားသည် (NtQuerySystemInformation အငြင်းအခုံတစ်ခုနှင့် SystemExtendedHandleInformation) ကိုက်ညီမှုရှိမရှိ စစ်ဆေးပါ။ PID ဖော်ပြချက်နှင့် PID လုပ်ငန်းစဉ် WinWord စာရွက်စာတမ်းကို ဝင်ခွင့်မျက်နှာဖုံးဖြင့် ဖွင့်ထားသလား၊ 0x12019F.

မှန်ကန်သော လက်ကိုင်ကို တွေ့ရှိကြောင်း အတည်ပြုရန် (အခြားဖွင့်ထားသော စာရွက်စာတမ်း၏ လက်ကိုင်မဟုတ်ပါ) လုပ်ဆောင်ချက်ကို အသုံးပြု၍ ဖိုင်၏ အကြောင်းအရာများကို ပြသသည် CreateFileMappingနှင့် Shellcode သည် စာရွက်စာတမ်း၏ နောက်ဆုံးဘိုက်လေးခုနှင့် ကိုက်ညီမှုရှိမရှိ စစ်ဆေးသည်yyyy» (ဥအမဲလိုက်နည်း)။ ကိုက်ညီမှုတစ်ခုကို တွေ့ရှိသည်နှင့်၊ စာရွက်စာတမ်းအား ယာယီဖိုင်တွဲတစ်ခုသို့ ကူးယူသည် (GetTempPath) ဘယ်လိုလဲ ole.dll. ထို့နောက် စာရွက်စာတမ်း၏ နောက်ဆုံး 12 bytes ကို ဖတ်သည်။

ပုံ 5. စာရွက်စာတမ်းအဆုံးသတ်အမှတ်အသားများ

အမှတ်အသားများအကြား 32-ဘစ်တန်ဖိုး AABBCCDD и yyyy နောက် shellcode ၏ offset ဖြစ်သည်။ function တစ်ခုနဲ့ ခေါ်ပါတယ်။ CreateThread. အစောပိုင်းက OceanLotus အဖွဲ့မှ အသုံးပြုခဲ့သည့် အလားတူ shellcode ကို ထုတ်ယူခဲ့သည်။ Python emulation script2018 ခုနှစ် မတ်လတွင် ထွက်ရှိခဲ့သော ကျွန်ုပ်တို့သည် ဒုတိယအဆင့် အမှိုက်ပုံကြီးအတွက် ဆက်လက်လုပ်ဆောင်နေပါသည်။

ဒုတိယခြေထောက်

အစိတ်အပိုင်းများကို ထုတ်ယူခြင်း။

ဖိုင်နှင့် လမ်းညွှန်အမည်များကို အင်တိုက်အားတိုက် ရွေးချယ်ထားသည်။ ကုဒ်သည် executable သို့မဟုတ် DLL ဖိုင်တစ်ခု၏အမည်ကို ကျပန်းရွေးချယ်သည်။ C:Windowssystem32. ထို့နောက် ၎င်းသည် ၎င်း၏အရင်းအမြစ်များကို တောင်းဆိုပြီး နယ်ပယ်ကို ပြန်လည်ရယူသည်။ FileDescription ဖိုဒါအမည်အဖြစ် အသုံးပြုရန်။ အလုပ်မလုပ်ပါက၊ ကုဒ်သည် လမ်းညွှန်များမှ ဖိုင်တွဲအမည်ကို ကျပန်းရွေးချယ်သည်။ %ProgramFiles% သို့မဟုတ် C:Windows (из GetWindowsDirectoryW). Он избегает использования имени, которое может конфликтовать с существующими файлами, и следит за тем, чтобы оно не содержало следующие слова: windows, Microsoft, desktop, system, system32 သို့မဟုတ် syswow64. လမ်းညွှန်ရှိပြီးသားဖြစ်ပါက၊ "NLS_{6 စာလုံး}" ကို အမည်တွင် ပေါင်းထည့်ထားသည်။

သယံဇာတ 0x102 ခွဲခြမ်းစိတ်ဖြာပြီး ဖိုင်များကို လွှင့်ပစ်လိုက်သည်။ %ProgramFiles% သို့မဟုတ် %AppData%ကျပန်းရွေးချယ်ထားသော ဖိုင်တွဲတစ်ခုသို့။ ဖန်တီးချိန်သည် တူညီသောတန်ဖိုးများအဖြစ် ပြောင်းလဲခဲ့သည်။ kernel32.dll.

ဥပမာအားဖြင့်၊ ဤနေရာတွင် executable ကိုရွေးချယ်ခြင်းဖြင့် ဖန်တီးထားသော ဖိုင်တွဲနှင့် ဖိုင်များစာရင်းဖြစ်သည်။ C:Windowssystem32TCPSVCS.exe ဒေတာအရင်းအမြစ်အဖြစ်။

ပုံ 6. အမျိုးမျိုးသော အစိတ်အပိုင်းများကို ထုတ်ယူခြင်း။

အရင်းအမြစ်ဖွဲ့စည်းပုံ 0x102 dropper ထဲမှာ အတော်လေးရှုပ်ထွေးပါတယ်။ အတိုချုပ်အားဖြင့်၊ ၎င်းတွင်ပါဝင်သည်-
- ဖိုင်အမည်များ
- ဖိုင်အရွယ်အစားနှင့်အကြောင်းအရာ
- ဖိသိပ်မှုပုံစံ (COMPRESSION_FORMAT_LZNT1function ကိုအသုံးပြုသည်။ RtlDecompressBuffer)

ပထမဖိုင်အဖြစ် လွှင့်ပစ်လိုက်သည်။ TCPSVCS.exeတရားဝင်သော၊ AcroTranscoder.exe (အရ FileDescription, SHA-1- 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).

အချို့ DLL ဖိုင်များသည် 11MB ထက် ပိုကြီးသည်ကို သတိပြုမိပေမည်။ အဘယ်ကြောင့်ဆိုသော် executable အတွင်းရှိ random data ၏ ကြီးမားသော ဆက်နွှယ်နေသော ကြားခံကြားခံကို အကောင်အထည်ဖော်နိုင်သောကြောင့်ဖြစ်သည်။ ဤသည်မှာ လုံခြုံရေးထုတ်ကုန်အချို့မှ ထောက်လှမ်းမှုကို ရှောင်ရှားရန် နည်းလမ်းတစ်ခု ဖြစ်နိုင်သည်။

မြဲမြံမှုရှိစေခြင်း။

သယံဇာတ 0x101 dropper တွင် တည်တံ့ခိုင်မြဲမှုကို မည်ကဲ့သို့ ကျင့်သုံးရမည်ကို သတ်မှတ်သည့် 32-bit ကိန်းပြည့် နှစ်ခုပါရှိသည်။ ပထမ၏တန်ဖိုးသည် စီမံခန့်ခွဲသူအခွင့်အရေးမရှိဘဲ malware မည်ကဲ့သို့ ဆက်လက်တည်ရှိနေမည်ကို သတ်မှတ်ပေးပါသည်။

ဇယား 1. Non-Administrator Persistence Mechanism

ဒုတိယ ကိန်းပြည့်၏တန်ဖိုးသည် စီမံခန့်ခွဲရေးဆိုင်ရာအခွင့်ထူးများဖြင့် လုပ်ဆောင်ခြင်းဖြင့် မဲလ်ဝဲသည် မည်သို့ဆက်လက်တည်မြဲကြောင်းသေချာစေသင့်သည်ကို ဖော်ပြသည်။

Table 2. Administrator Persistence Mechanism

ဝန်ဆောင်မှုအမည်သည် တိုးချဲ့မှုမပါဘဲ ဖိုင်အမည်ဖြစ်သည်။ ဖော်ပြသောအမည်သည် ဖိုင်တွဲ၏အမည်ဖြစ်သည်၊ သို့သော် ၎င်းရှိပြီးသားဖြစ်ပါက၊ စာသား “Revision 1” (အသုံးမပြုသော အမည်ကို ရှာမတွေ့မချင်း အရေအတွက် တိုးလာသည်။ ဝန်ဆောင်မှုမှတစ်ဆင့် ခံနိုင်ရည်ရှိမှုအား အော်ပရေတာများက သတိပြုမိသည် - ချို့ယွင်းမှုရှိပါက ဝန်ဆောင်မှုကို 1 စက္ကန့်အကြာတွင် ပြန်လည်စတင်ရမည်ဖြစ်ပါသည်။ ပြီးရင် တန်ဖိုး WOW64 ဝန်ဆောင်မှုအတွက် မှတ်ပုံတင်ကီးအသစ်ကို 4 ဟု သတ်မှတ်ထားပြီး ၎င်းသည် 32-bit ဝန်ဆောင်မှုဖြစ်ကြောင်း ညွှန်ပြသည်။

စီစဉ်ထားသော အလုပ်တစ်ခုကို COM အင်တာဖေ့စ်များစွာမှတစ်ဆင့် ဖန်တီးသည်- ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. အခြေခံအားဖြင့်၊ မဲလ်ဝဲသည် လျှို့ဝှက်လုပ်ဆောင်စရာတစ်ခုကို ဖန်တီးကာ အကောင့်အချက်အလက်ကို လက်ရှိအသုံးပြုသူ သို့မဟုတ် စီမံခန့်ခွဲသူအချက်အလက်နှင့်အတူ သတ်မှတ်ပေးကာ အစပျိုးကို သတ်မှတ်ပေးသည်။

၎င်းသည် 24 နာရီကြာချိန်နှင့် 10 မိနစ်အပြေးနှစ်ခုကြားကာလများပါရှိသောနေ့စဉ်အလုပ်ဖြစ်သည်၊ ဆိုလိုသည်မှာ၎င်းသည်အဆက်မပြတ်လည်ပတ်မည်ဖြစ်သည်။

ကြံဖန်နည်းနည်း

ကျွန်ုပ်တို့၏ဥပမာတွင်၊ အကောင်ထည်ဖော်နိုင်သည်။ TCPSVCS.exe (AcroTranscoder.exe) သည် ၎င်းနှင့်အတူ ကျဆင်းသွားသော DLLs များကို load လုပ်သည့် တရားဝင်ဆော့ဖ်ဝဲဖြစ်သည်။ ဤကိစ္စတွင်၎င်းသည်စိတ်ဝင်စားဖွယ်ဖြစ်သည်။ Flash Video Extension.dll.

၎င်း၏လုပ်ဆောင်ချက် DLLMain အခြား function ကိုခေါ်ရုံပါပဲ။ အချို့သော မရေရာသော ခန့်မှန်းချက်များ ရှိသည်-

ပုံ 7. Fuzzy ခန့်မှန်းချက်များ

ဤမှားယွင်းသောစစ်ဆေးမှုများပြီးနောက်၊ ကုဒ်သည် ကဏ္ဍတစ်ခုရရှိမည်ဖြစ်သည်။ .text ဖိုင် TCPSVCS.exe၊ ၎င်း၏ အကာအကွယ်ကို ပြောင်းလဲသည်။ PAGE_EXECUTE_READWRITE ၎င်းကို dummy ညွှန်ကြားချက်များဖြင့် ထပ်ရေးသည်-

ပုံ 8. ညွှန်ကြားချက်များ၏တစ်ဆက်တည်း

အဆုံးတွင် function ၏လိပ်စာ FLVCore::Uninitialize(void), တင်ပို့ခဲ့သည်။ Flash Video Extension.dll၊ ညွှန်ကြားချက်ကိုထည့်သွင်းထားသည်။ CALL. ဆိုလိုသည်မှာ အန္တရာယ်ရှိသော DLL ကိုတင်ပြီးနောက်၊ runtime ခေါ်ဆိုသောအခါ WinMain в TCPSVCS.exeညွှန်ပြချက်သည် NOP သို့ ညွှန်ပြမည်ဖြစ်ပြီး ခေါ်ဆိုမှုကို ဖြစ်ပေါ်စေသည်။ FLVCore::Uninitialize(void)နောက်အဆင့်။

လုပ်ဆောင်ချက်သည် ရိုးရိုးရှင်းရှင်းဖြင့် စတင်သည့် mutex ကို ဖန်တီးသည်။ {181C8480-A975-411C-AB0A-630DB8B0A221}နောက်တွင် လက်ရှိအသုံးပြုသူအမည်။ ထို့နောက် ၎င်းသည် တည်နေရာ-အမှီအခိုကင်းသော ကုဒ်ပါရှိသော စွန့်ပစ်ထားသော *.db3 ဖိုင်ကို ဖတ်ပြီး အသုံးပြုသည်။ CreateThread အကြောင်းအရာကိုလုပ်ဆောင်ရန်။

*.db3 ဖိုင်၏ အကြောင်းအရာသည် OceanLotus အဖွဲ့မှ ပုံမှန်အသုံးပြုသည့် shellcode ဖြစ်သည်။ ကျွန်ုပ်တို့ထုတ်ဝေထားသော emulator script ကို အသုံးပြု၍ ၎င်း၏ payload ကို အောင်မြင်စွာ ထပ်မံချုံ့လိုက်ပါသည်။ GitHub တွင်.

ဇာတ်ညွှန်းသည် နောက်ဆုံးအဆင့်ကို ထုတ်နုတ်သည်။ ဤအစိတ်အပိုင်းသည် ကျွန်ုပ်တို့ ခွဲခြမ်းစိပ်ဖြာပြီးသော နောက်ခံတစ်ခုဖြစ်သည်။ ယခင် OceanLotus လေ့လာမှု. ဒါကို GUID က ဆုံးဖြတ်နိုင်ပါတယ်။ {A96B020F-0000-466F-A96D-A91BBF8EAC96} binary ဖိုင်။ Malware ဖွဲ့စည်းမှုပုံစံကို PE ရင်းမြစ်တွင် ကုဒ်ဝှက်ထားဆဲဖြစ်သည်။ ၎င်းတွင် အကြမ်းဖျင်းတူညီသောဖွဲ့စည်းပုံများပါရှိသော်လည်း C&C ဆာဗာများသည် ယခင်ပုံစံများနှင့် ကွဲပြားသည်-

- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz

OceanLotus အဖွဲ့သည် ထောက်လှမ်းမှုကို ရှောင်ရှားရန် မတူညီသော နည်းလမ်းများကို ပေါင်းစပ်သရုပ်ပြပြန်သည်။ ၎င်းတို့သည် ကူးစက်မှုလုပ်ငန်းစဉ်၏ "ပြီးမြောက်သည်" အစီအစဉ်ဖြင့် ပြန်လည်ရောက်ရှိလာကြသည်။ ကျပန်းအမည်များကိုရွေးချယ်ပြီး ကျပန်းဒေတာဖြင့် executable များကိုဖြည့်ခြင်းဖြင့်၊ ၎င်းတို့သည် ယုံကြည်စိတ်ချရသော IoCs အရေအတွက် ( hashes နှင့် filenames များပေါ်အခြေခံ၍) လျှော့ချသည်။ ထို့အပြင်၊ တတိယပါတီ DLL တင်ခြင်းကို အသုံးပြုခြင်းဖြင့်၊ တိုက်ခိုက်သူများသည် တရားဝင် binary ကို ဖယ်ရှားရန်သာ လိုအပ်သည်။ AcroTranscoder.

မော်ကွန်းတိုက်များ ကိုယ်တိုင် ထုတ်ယူခြင်း။

RTF ဖိုင်များပြီးနောက်၊ အဖွဲ့သည် သုံးစွဲသူကို ပိုမိုရှုပ်ထွေးစေရန်အတွက် ဘုံစာရွက်စာတမ်းအိုင်ကွန်များပါရှိသော မှတ်တမ်းများကို ကိုယ်တိုင်ထုတ်ယူခြင်း (SFX) သို့ ပြောင်းခဲ့သည်။ Threatbook က ဒီအကြောင်းကို ရေးခဲ့တယ် (တရုတ်လို လင့်ခ်) စတင်ချိန်တွင်၊ ကိုယ်တိုင်ထုတ်ယူခြင်း RAR ဖိုင်များကို စွန့်ပစ်ပြီး .ocx တိုးချဲ့မှုပါရှိသော DLLs များကို လုပ်ဆောင်ပြီး၊ ယခင်က မှတ်တမ်းတင်ထားသည့် နောက်ဆုံးပေးချေမှု {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. 2019 ခုနှစ် ဇန်နဝါရီလလယ်ကတည်းက OceanLotus သည် ဤနည်းပညာကို ပြန်လည်အသုံးပြုနေသော်လည်း အချိန်ကြာလာသည်နှင့်အမျှ အချို့သောပုံစံများကို ပြောင်းလဲထားသည်။ ဤအပိုင်းတွင်၊ ကျွန်ုပ်တို့သည် နည်းပညာနှင့် အပြောင်းအလဲများအကြောင်း ဆွေးနွေးပါမည်။

ဆွဲဆောင်မှုတစ်ခုဖန်တီးခြင်း။

စာရွက်စာတမ်း THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (sha-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB2018 ခုနှစ်တွင် စတင်တွေ့ရှိခဲ့သည်။ ဤ SFX ဖိုင်ကို စိတ်ဖြင့် ဖန်တီးထားသည် - ဖော်ပြချက် (ဗားရှင်းအချက်အလက်) က JPEG ပုံတစ်ပုံလို့ဆိုပါတယ်။ SFX ဇာတ်ညွှန်းသည် ဤကဲ့သို့ ဖြစ်သည်-

ပုံ 9. SFX Commands

Malware သည် ပြန်လည်သတ်မှတ်သည်။ {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (sha-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC) အပြင်ပုံပါ 2018 thich thong lac.jpg.

ဖယောင်းတိုင်ပုံသည် ဤကဲ့သို့မြင်ရသည်-

ပုံ 10. Decoy ပုံ

SFX script မှ ပထမမျဉ်းနှစ်ကြောင်းသည် OCX ဖိုင်ကို နှစ်ကြိမ်ခေါ်ဆိုသည်ကို သတိပြုမိနိုင်သော်လည်း ၎င်းသည် အမှားအယွင်းမဟုတ်ပေ။

{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)

OCX ဖိုင်၏ ထိန်းချုပ်စီးဆင်းမှုသည် အခြားသော OceanLotus အစိတ်အပိုင်းများနှင့် အလွန်ဆင်တူသည် - အမိန့်ပေးသည့် အတွဲများစွာ JZ/JNZ и PUSH/RETအမှိုက်ကုဒ်တွေနဲ့ ရောယှက်နေတယ်။

ပုံ 11။ ရှုပ်ယှက်ခတ်နေသော ကုဒ်

အမှိုက်ကုဒ်ကို စစ်ထုတ်ပြီးနောက်၊ တင်ပို့ပါ။ DllRegisterServer, ခေါ်သည် regsvr32.exe, ဖော်ပြပါအတိုင်း:

ပုံ 12။ ပင်မထည့်သွင်းသူကုဒ်

အခြေခံအားဖြင့် ပထမဦးဆုံးအကြိမ် ဖုန်းခေါ်ခြင်းဖြစ်သည်။ DllRegisterServer တင်ပို့မှုသည် မှတ်ပုံတင်တန်ဖိုးကို သတ်မှတ်သည်။ HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model DLL တွင် စာဝှက်ထားသော အော့ဖ်ဆက်အတွက် (0x10001DE0).

လုပ်ဆောင်ချက်ကို ဒုတိယအကြိမ်ဟုခေါ်သောအခါ၊ ၎င်းသည် တူညီသောတန်ဖိုးကိုဖတ်ပြီး ထိုလိပ်စာတွင် လုပ်ဆောင်သည်။ ဤနေရာမှ၊ ရင်းမြစ်ကို ဖတ်ပြီး လုပ်ဆောင်ပြီး လုပ်ဆောင်ချက်များ အများအပြားကို RAM တွင် လုပ်ဆောင်သည်။

shellcode သည် ယခင် OceanLotus ကမ်ပိန်းများတွင် အသုံးပြုခဲ့သည့် PE loader နှင့် တူညီပါသည်။ ဖြင့် အတုယူနိုင်ပါသည်။ ငါတို့ရဲ့ဇာတ်ညွှန်း. နောက်ဆုံးတော့ သူ ပြုတ်ကျသွားတယ်။ db293b825dcc419ba7dc2c49fa2757ee.dll၊ ၎င်းကို memory ထဲသို့တင်ပြီး execute လုပ်ပါ။ DllEntry.

DLL သည် ၎င်း၏ရင်းမြစ်၏ အကြောင်းအရာများကို ထုတ်ယူပြီး (AES-256-CBC) ကို ကုဒ်ဝှက်ပြီး (LZMA) ကို ချုံ့သည်။ အရင်းအမြစ်တွင် စုစည်းရန် လွယ်ကူသော သီးခြားဖော်မတ်တစ်ခု ရှိသည်။

ပုံ 13။ တပ်ဆင်သူ ဖွဲ့စည်းမှုပုံစံဖွဲ့စည်းပုံ (KaitaiStruct Visualizer)

ဖွဲ့စည်းမှုပုံစံကို အတိအလင်း သတ်မှတ်ထားသည် - အခွင့်ထူးခံအဆင့်ပေါ် မူတည်၍ binary ဒေတာကို ရေးပေးမည် %appdata%IntellogsBackgroundUploadTask.cpl သို့မဟုတ် %windir%System32BackgroundUploadTask.cpl (သို့မဟုတ် SysWOW64 64-bit စနစ်များအတွက်) ။

အမည်ပေးထားသော အလုပ်တစ်ခုကို ဖန်တီးခြင်းဖြင့် ဆက်လက်တည်မြဲမှုကို သေချာစေသည်။ BackgroundUploadTask[junk].jobဘယ်မှာ [junk] bytes အစုတစ်ခုဖြစ်သည်။ 0x9D и 0xA0.

Task application အမည် %windir%System32control.exeနှင့် parameter ၏တန်ဖိုးသည် ဒေါင်းလုဒ်လုပ်ထားသော binary ဖိုင်ဆီသို့ လမ်းကြောင်းဖြစ်သည်။ ဝှက်ထားသော အလုပ်သည် နေ့တိုင်း အလုပ်လုပ်သည်။

ဖွဲ့စည်းပုံအရ၊ CPL ဖိုင်သည် အတွင်းအမည်တစ်ခုပါရှိသော DLL ဖြစ်သည်။ ac8e06de0a6c4483af9837d96504127e.dllလုပ်ဆောင်ချက်ကို တင်ပို့သည်။ CPlApplet. ဤဖိုင်သည် ၎င်း၏တစ်ခုတည်းသော အရင်းအမြစ်ကို ကုဒ်ဝှက်သည်။ {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dllထို့နောက် DLL ကို တင်ပြီး ၎င်း၏ တစ်ခုတည်းသော တင်ပို့မှုကို ခေါ်သည်။ DllEntry.

နောက်ခံဖွဲ့စည်းမှုဖိုင်

backdoor configuration ကို ကုဒ်ဝှက်ထားပြီး ၎င်း၏အရင်းအမြစ်များတွင် ထည့်သွင်းထားသည်။ configuration file ၏ ဖွဲ့စည်းပုံသည် ယခင်ဖိုင်နှင့် အလွန်ဆင်တူသည်။

ပုံ 14။ နောက်ခံဖွဲ့စည်းပုံဖွဲ့စည်းပုံ (KaitaiStruct Visualizer)

တူညီသောဖွဲ့စည်းပုံရှိသော်လည်း၊ များစွာသောနယ်ပယ်များ၏တန်ဖိုးများကိုပြသထားသောဒေတာများနှင့်နှိုင်းယှဉ်ပါ။ ကျွန်တော်တို့ရဲ့ အစီရင်ခံစာဟောင်း.

binary array ၏ပထမဒြပ်စင်တွင် DLL ပါဝင်သည် (HttpProv.dll MD5 2559738D1BD4A999126F900C7357B759), Tencent မှဖော်ထုတ်ခဲ့သည်။. သို့သော် ပို့ကုန်အမည်ကို binary မှ ဖယ်ရှားလိုက်သောကြောင့်၊ hash များသည် မကိုက်ညီပါ။

ထပ်လောင်းသုတေသန

နမူနာများကို စုဆောင်းရာတွင် အချို့သော ဝိသေသလက္ခဏာများကို အာရုံစိုက်ခဲ့ပါသည်။ ဖော်ပြထားသည့်နမူနာသည် 2018 ခုနှစ် ဇူလိုင်လဝန်းကျင်တွင် ပေါ်လာပြီး မကြာသေးမီကပင်၊ ဇန်နဝါရီလလယ်ပိုင်းမှ 2019 ခုနှစ် ဖေဖော်ဝါရီလအစောပိုင်းတွင် ပေါ်လာသည်။ SFX မှတ်တမ်းကို ကူးစက်မှုဆိုင်ရာ အားနည်းချက်တစ်ခုအဖြစ် အသုံးပြုခဲ့ပြီး တရားဝင် လှည့်ကွက်စာရွက်စာတမ်းနှင့် အန္တရာယ်ရှိသော OCX ဖိုင်ကို စွန့်ပစ်ခဲ့သည်။

OceanLotus သည် အချိန်တံဆိပ်တုံးအတုများကို အသုံးပြုသော်လည်း၊ SFX နှင့် OCX ဖိုင်များ၏ အချိန်တံဆိပ်များသည် အမြဲတမ်းအတူတူဖြစ်ကြောင်း ကျွန်ုပ်တို့သတိပြုမိသည် (0x57B0C36A (08/14/2016 @ 7:15pm UTC) နှင့် 0x498BE80F (02/06/2009 @ 7:34am UTC) အသီးသီး။ ဤသည်မှာ စာရေးဆရာများတွင် တူညီသော ပုံစံများကို အသုံးပြု၍ အချို့သော ဝိသေသလက္ခဏာများကို ပြောင်းလဲစေသော "တည်ဆောက်သူ" တစ်မျိုးမျိုးရှိကြောင်း ညွှန်ပြနေပေမည်။

2018 ခုနှစ်အစကတည်းက ကျွန်ုပ်တို့လေ့လာခဲ့သည့် စာရွက်စာတမ်းများထဲတွင်၊ စိတ်ဝင်စားဖွယ်တိုက်ခိုက်နေသောနိုင်ငံများကို ညွှန်ပြသော အမည်အမျိုးမျိုးရှိသည်။

- ကမ္ဘောဒီးယားမီဒီယာ (New.xls.exe) ၏ ဆက်သွယ်ရန်အချက်အလက်အသစ်
- 李建香 (个人简历).exe (CV ၏ pdf စာရွက်စာတမ်းအတု)
— တုံ့ပြန်ချက်၊ ဇူလိုင်လ 28-29၊ 2018.exe မှ USA တွင် Rally

နောက်ကွယ်မှရှာဖွေတွေ့ရှိကတည်းက {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll နှင့် သုတေသီအများအပြားက ၎င်း၏ခွဲခြမ်းစိတ်ဖြာချက်ကို ထုတ်ဝေခြင်းဖြင့် malware ဖွဲ့စည်းမှုဆိုင်ရာဒေတာတွင် ပြောင်းလဲမှုအချို့ကို ကျွန်ုပ်တို့ တွေ့ရှိခဲ့သည်။

ပထမဦးစွာစာရေးဆရာများသည်အကူအညီပေးသူ DLL DLLs များမှအမည်များကိုစတင်ဖယ်ရှားခဲ့သည် (DNSprov.dll ဗားရှင်းနှစ်မျိုး HttpProv.dll) ထို့နောက်အော်ပရေတာများသည်တတိယ DLL (ဒုတိယဗားရှင်းကိုထုပ်ပိုးခြင်းကိုရပ်တန့်ခဲ့သည်။ HttpProv.dll) တစ်ခုတည်းကို မြှုပ်နှံရန် ရွေးချယ်ခြင်း။

ဒုတိယအနေဖြင့်၊ IoC အများအပြားရရှိနိုင်လာသည်နှင့်အမျှ ထောက်လှမ်းမှုကို ရှောင်ရှားရန်အတွက် နောက်ခံဖွဲ့စည်းမှုအကွက်များစွာကို ပြောင်းလဲထားသည်။ စာရေးဆရာများ ပြုပြင်မွမ်းမံထားသော အရေးကြီးသော နယ်ပယ်များထဲတွင် အောက်ပါတို့ ပါဝင်သည်။

• ပြောင်းလဲထားသော မှတ်ပုံတင်ကီး AppX (IoCs ကိုကြည့်ပါ)
• mutex ကုဒ်ဝှက်ခြင်း စာကြောင်း ("def", "abc", "ghi")
• ဆိပ်ကမ်းနံပါတ်

နောက်ဆုံးတွင်၊ ခွဲခြမ်းစိတ်ဖြာထားသော ဗားရှင်းအသစ်များအားလုံးတွင် IoCs ကဏ္ဍတွင် ဖော်ပြထားသော C&C အသစ်များရှိသည်။

တွေ့ရှိချက်များ

OceanLotus သည် ဆက်လက်တိုးတက်နေပါသည်။ ဆိုက်ဘာအဖွဲ့သည် ကိရိယာများနှင့် လှည့်စားမှုများကို သန့်စင်ခြင်းနှင့် ချဲ့ထွင်ခြင်းအပေါ် အာရုံစိုက်ထားသည်။ စာရေးဆရာများသည် ရည်ရွယ်ခံရသူများနှင့် သက်ဆိုင်သည့် အာရုံစူးစိုက်မှုရှိသော စာရွက်စာတမ်းများဖြင့် အန္တရာယ်ရှိသော ဝန်ထုပ်ဝန်ပိုးများကို ဖုံးကွယ်ထားသည်။ ၎င်းတို့သည် ဆားကစ်အသစ်များကို တီထွင်ပြီး Equation Editor exploit ကဲ့သို့သော အများသူငှာရရှိနိုင်သော ကိရိယာများကိုလည်း အသုံးပြုပါသည်။ ထို့အပြင်၊ ၎င်းတို့သည် သားကောင်များ၏ စက်များတွင် ကျန်ရစ်ခဲ့သော ရှေးဟောင်းပစ္စည်း အရေအတွက်ကို လျှော့ချရန် ကိရိယာများကို ပိုမိုကောင်းမွန်အောင် လုပ်ဆောင်နေပြီး ဗိုင်းရပ်စ်နှိမ်နင်းရေး ဆော့ဖ်ဝဲလ်မှ ရှာဖွေတွေ့ရှိနိုင်ခြေကို လျှော့ချပေးသည်။

အပေးအယူအညွှန်းများ

အပေးအယူလုပ်ခြင်းဆိုင်ရာ အညွှန်းကိန်းများအပြင် MITER ATT&CK ရည်ညွှန်းချက်များကို ရရှိနိုင်ပါသည်။ Welivesecurity ပေါ်တွင် и GitHub တွင်.

source: www.habr.com