ESET- OceanLotus Cybergroup Backdoor အတွက် ပို့ဆောင်မှုအစီအစဉ်အသစ်

ပို့စ်တွင်၊ OceanLotus ဆိုက်ဘာအဖွဲ့ (APT32 နှင့် APT-C-00) သည် မကြာသေးမီက လူသိရှင်ကြားရနိုင်သော အသုံးချမှုများထဲမှ တစ်ခုကို မည်သို့အသုံးပြုခဲ့သည်ကို ပြောပြပါမည်။ CVE-2017-11882Microsoft Office ရှိ memory ယိုယွင်းမှု အားနည်းချက်များနှင့် အဖွဲ့၏ malware များသည် ခြေရာခံမချန်ဘဲ အပေးအယူခံရသော စနစ်များပေါ်တွင် ဆက်လက်တည်မြဲနေစေရန် သေချာစေသည်။ ထို့နောက်၊ အဖွဲ့သည် 2019 ခုနှစ်အစပိုင်းမှစတင်၍ ကုဒ်ကိုဖွင့်ရန် မိမိကိုယ်တိုင် ထုတ်ယူထားသော မော်ကွန်းတိုက်များကို အသုံးပြုနေပုံကို ဖော်ပြထားပါသည်။

OceanLotus သည် ဆိုက်ဘာသူလျှိုလုပ်ခြင်းကို အထူးပြုပြီး ဦးစားပေးပစ်မှတ်များမှာ အရှေ့တောင်အာရှနိုင်ငံများဖြစ်သည်။ တိုက်ခိုက်သူများသည် နောက်ကွယ်မှ လုပ်ဆောင်ရန် စည်းရုံးသိမ်းသွင်းနိုင်ရန် ဖြစ်နိုင်ချေရှိသော သားကောင်များ၏ အာရုံစိုက်မှုကို ဆွဲဆောင်နိုင်သည့် စာရွက်စာတမ်းများကို အတုလုပ်ကာ ကိရိယာများ တီထွင်ရေးကိုလည်း လုပ်ဆောင်ကြသည်။ Honeypots ဖန်တီးရာတွင် အသုံးပြုသည့် နည်းလမ်းများသည် မတူညီသော တိုက်ခိုက်မှုများတွင် ကွဲပြားသည် - "နှစ်ထပ်တိုးချဲ့ခြင်း" ဖိုင်များ၊ ကိုယ်တိုင်ထုတ်ယူသည့် မော်ကွန်းတိုက်များ၊ မက်ခရိုစာရွက်စာတမ်းများ၊ လူသိများသော ထုတ်ယူမှုများအထိ။

Microsoft Equation Editor တွင် exploit ကိုအသုံးပြုခြင်း။

2018 နှစ်လယ်တွင် OceanLotus သည် CVE-2017-11882 အားနည်းချက်ကို အသုံးချကာ ကမ်ပိန်းတစ်ခု လုပ်ဆောင်ခဲ့သည်။ Cybergroup ၏ အန္တရာယ်ရှိသော စာရွက်စာတမ်းများထဲမှ တစ်ခုကို 360 Threat Intelligence Center မှ ကျွမ်းကျင်သူများက ခွဲခြမ်းစိတ်ဖြာခဲ့သည် (တရုတ်ဘာသာဖြင့်လေ့လာပါ။exploit ၏အသေးစိတ်ဖော်ပြချက်အပါအဝင်) ။ အောက်ဖော်ပြပါ ပို့စ်တွင် ထိုသို့သော အန္တရာယ်ရှိသော စာရွက်စာတမ်း၏ ခြုံငုံသုံးသပ်ချက်ပါရှိသည်။

ပထမအဆင့်

စာရွက်စာတမ်း FW Report on demonstration of former CNRP in Republic of Korea.doc (sha-1: D1357B284C951470066AAA7A8228190B88A5C7C3) သည် အထက်ဖော်ပြပါ လေ့လာမှု နှင့် ဆင်တူသည်။ ကမ္ဘောဒီးယားနိုင်ငံရေးကို စိတ်ဝင်စားသော သုံးစွဲသူများအတွက် ရည်ရွယ်သည် (CNRP - ကမ္ဘောဒီးယားအမျိုးသား ကယ်တင်ရေးပါတီ၊ 2017 နှစ်ကုန်တွင် ဖျက်သိမ်းခဲ့သည်)။ .doc တိုးချဲ့မှုရှိနေသော်လည်း၊ စာရွက်စာတမ်းသည် RTF ဖော်မတ် (အောက်ပုံတွင်ကြည့်ပါ)၊ အမှိုက်ကုဒ်ပါရှိပြီး ရှုပ်ပွနေပါသည်။

ပုံ 1. RTF ရှိ အမှိုက်

ပုံမမှန်သောဒြပ်စင်များရှိနေသော်လည်း Word သည် ဤ RTF ဖိုင်ကို အောင်မြင်စွာဖွင့်နိုင်သည်။ ပုံ 2 တွင်သင်တွေ့မြင်နိုင်သည်အတိုင်း၊ ဤနေရာတွင် အော့ဖ်ဆက် 0xC00 တွင် EQNOLEFILEHDR တည်ဆောက်ပုံသည် MTEF ခေါင်းစီးဖြင့်နောက်တွင် ဖောင့်အတွက် MTEF ထည့်သွင်းမှု (ပုံ 3) ဖြစ်သည်။

ပုံ 2. FONT တန်ဖိုးများကို မှတ်တမ်းတင်ပါ။

ပုံ 3 ။ FONT ရိုက်ကူးမှုပုံစံ

အကွက်များ ပြည့်လျှံလာနိုင်သည်။ နာမတျောကိုကူးယူခြင်းမပြုမီ ၎င်း၏အရွယ်အစားကို မစစ်ဆေးသောကြောင့်ဖြစ်သည်။ ရှည်လွန်းသောအမည်သည် အားနည်းချက်ကို အစပျိုးစေသည်။ RTF ဖိုင်၏ အကြောင်းအရာများ (ပုံ 0 တွင် offset 26xC2) မှ သင်တွေ့မြင်နိုင်သည်အတိုင်း၊ ကြားခံသည် shellcode နှင့် ပြည့်နေပြီး နောက်တွင် dummy command (0x90) လိပ်စာပြန်ပေးပါ။ 0x402114. လိပ်စာသည် ဒိုင်ယာလော့ဂ်ဒြပ်စင်တစ်ခုဖြစ်သည်။ EQNEDT32.exeညွှန်ကြားချက်များကို ညွှန်ပြသည်။ RET. ၎င်းသည် EIP နယ်ပယ်၏အစကို ညွှန်ပြစေသည်။ နာမတျောကိုshellcode ပါရှိပါသည်။

ပုံ 4။ exploit shellcode ၏အစ

လိပ်စာ 0x45BD3C လက်ရှိတင်နေသောဖွဲ့စည်းပုံသို့ ညွှန်ပြသည့်ညွှန်ပြချက်သို့ ရောက်သည်အထိ ရည်ညွှန်းထားသော ကိန်းရှင်တစ်ခုကို သိမ်းဆည်းထားသည်။ MTEFData. ဤတွင် shellcode ၏ကျန်ရှိသည်။

shellcode ၏ရည်ရွယ်ချက်မှာ open document တွင်ထည့်သွင်းထားသော shellcode ၏ဒုတိယအပိုင်းကိုလုပ်ဆောင်ရန်ဖြစ်သည်။ ပထမဦးစွာ၊ မူရင်း shellcode သည် system descriptors အားလုံးကို ထပ်လောင်းခြင်းဖြင့် open document ၏ file descriptor ကို ရှာရန်ကြိုးစားသည် (NtQuerySystemInformation အငြင်းအခုံတစ်ခုနှင့် SystemExtendedHandleInformation) ကိုက်ညီမှုရှိမရှိ စစ်ဆေးပါ။ PID ဖော်ပြချက်နှင့် PID လုပ်ငန်းစဉ် WinWord စာရွက်စာတမ်းကို ဝင်ခွင့်မျက်နှာဖုံးဖြင့် ဖွင့်ထားသလား၊ 0x12019F.

မှန်ကန်သော လက်ကိုင်ကို တွေ့ရှိကြောင်း အတည်ပြုရန် (အခြားဖွင့်ထားသော စာရွက်စာတမ်း၏ လက်ကိုင်မဟုတ်ပါ) လုပ်ဆောင်ချက်ကို အသုံးပြု၍ ဖိုင်၏ အကြောင်းအရာများကို ပြသသည် CreateFileMappingနှင့် Shellcode သည် စာရွက်စာတမ်း၏ နောက်ဆုံးဘိုက်လေးခုနှင့် ကိုက်ညီမှုရှိမရှိ စစ်ဆေးသည်yyyy» (ဥအမဲလိုက်နည်း)။ ကိုက်ညီမှုတစ်ခုကို တွေ့ရှိသည်နှင့်၊ စာရွက်စာတမ်းအား ယာယီဖိုင်တွဲတစ်ခုသို့ ကူးယူသည် (GetTempPath) ဘယ်လိုလဲ ole.dll. ထို့နောက် စာရွက်စာတမ်း၏ နောက်ဆုံး 12 bytes ကို ဖတ်သည်။

ပုံ 5. စာရွက်စာတမ်းအဆုံးသတ်အမှတ်အသားများ

အမှတ်အသားများအကြား 32-ဘစ်တန်ဖိုး AABBCCDD и yyyy နောက် shellcode ၏ offset ဖြစ်သည်။ function တစ်ခုနဲ့ ခေါ်ပါတယ်။ CreateThread. အစောပိုင်းက OceanLotus အဖွဲ့မှ အသုံးပြုခဲ့သည့် အလားတူ shellcode ကို ထုတ်ယူခဲ့သည်။ Python emulation script2018 ခုနှစ် မတ်လတွင် ထွက်ရှိခဲ့သော ကျွန်ုပ်တို့သည် ဒုတိယအဆင့် အမှိုက်ပုံကြီးအတွက် ဆက်လက်လုပ်ဆောင်နေပါသည်။

ဒုတိယခြေထောက်

အစိတ်အပိုင်းများကို ထုတ်ယူခြင်း။

ဖိုင်နှင့် လမ်းညွှန်အမည်များကို အင်တိုက်အားတိုက် ရွေးချယ်ထားသည်။ ကုဒ်သည် executable သို့မဟုတ် DLL ဖိုင်တစ်ခု၏အမည်ကို ကျပန်းရွေးချယ်သည်။ C:Windowssystem32. ထို့နောက် ၎င်းသည် ၎င်း၏အရင်းအမြစ်များကို တောင်းဆိုပြီး နယ်ပယ်ကို ပြန်လည်ရယူသည်။ FileDescription ဖိုဒါအမည်အဖြစ် အသုံးပြုရန်။ အလုပ်မလုပ်ပါက၊ ကုဒ်သည် လမ်းညွှန်များမှ ဖိုင်တွဲအမည်ကို ကျပန်းရွေးချယ်သည်။ %ProgramFiles% သို့မဟုတ် C:Windows (GetWindowsDirectoryW မှ)။ ၎င်းသည် ရှိပြီးသားဖိုင်များနှင့် ကွဲလွဲနိုင်သည့် အမည်ကို အသုံးပြုခြင်းမှ ရှောင်ကြဉ်ပြီး ၎င်းတွင် အောက်ပါစကားလုံးများ မပါဝင်ကြောင်း သေချာစေသည်- windows, Microsoft, desktop, system, system32 သို့မဟုတ် syswow64. လမ်းညွှန်ရှိပြီးသားဖြစ်ပါက၊ "NLS_{6 စာလုံး}" ကို အမည်တွင် ပေါင်းထည့်ထားသည်။

သယံဇာတ 0x102 ခွဲခြမ်းစိတ်ဖြာပြီး ဖိုင်များကို လွှင့်ပစ်လိုက်သည်။ %ProgramFiles% သို့မဟုတ် %AppData%ကျပန်းရွေးချယ်ထားသော ဖိုင်တွဲတစ်ခုသို့။ ဖန်တီးချိန်သည် တူညီသောတန်ဖိုးများအဖြစ် ပြောင်းလဲခဲ့သည်။ kernel32.dll.

ဥပမာအားဖြင့်၊ ဤနေရာတွင် executable ကိုရွေးချယ်ခြင်းဖြင့် ဖန်တီးထားသော ဖိုင်တွဲနှင့် ဖိုင်များစာရင်းဖြစ်သည်။ C:Windowssystem32TCPSVCS.exe ဒေတာအရင်းအမြစ်အဖြစ်။

ပုံ 6. အမျိုးမျိုးသော အစိတ်အပိုင်းများကို ထုတ်ယူခြင်း။

အရင်းအမြစ်ဖွဲ့စည်းပုံ 0x102 dropper ထဲမှာ အတော်လေးရှုပ်ထွေးပါတယ်။ အတိုချုပ်အားဖြင့်၊ ၎င်းတွင်ပါဝင်သည်-
- ဖိုင်အမည်များ
- ဖိုင်အရွယ်အစားနှင့်အကြောင်းအရာ
- ဖိသိပ်မှုပုံစံ (COMPRESSION_FORMAT_LZNT1function ကိုအသုံးပြုသည်။ RtlDecompressBuffer)

ပထမဖိုင်အဖြစ် လွှင့်ပစ်လိုက်သည်။ TCPSVCS.exeတရားဝင်သော၊ AcroTranscoder.exe (အရ FileDescription, SHA-1- 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).

အချို့ DLL ဖိုင်များသည် 11MB ထက် ပိုကြီးသည်ကို သတိပြုမိပေမည်။ အဘယ်ကြောင့်ဆိုသော် executable အတွင်းရှိ random data ၏ ကြီးမားသော ဆက်နွှယ်နေသော ကြားခံကြားခံကို အကောင်အထည်ဖော်နိုင်သောကြောင့်ဖြစ်သည်။ ဤသည်မှာ လုံခြုံရေးထုတ်ကုန်အချို့မှ ထောက်လှမ်းမှုကို ရှောင်ရှားရန် နည်းလမ်းတစ်ခု ဖြစ်နိုင်သည်။

မြဲမြံမှုရှိစေခြင်း။

သယံဇာတ 0x101 dropper တွင် တည်တံ့ခိုင်မြဲမှုကို မည်ကဲ့သို့ ကျင့်သုံးရမည်ကို သတ်မှတ်သည့် 32-bit ကိန်းပြည့် နှစ်ခုပါရှိသည်။ ပထမ၏တန်ဖိုးသည် စီမံခန့်ခွဲသူအခွင့်အရေးမရှိဘဲ malware မည်ကဲ့သို့ ဆက်လက်တည်ရှိနေမည်ကို သတ်မှတ်ပေးပါသည်။

ဇယား 1. Non-Administrator Persistence Mechanism

ဒုတိယ ကိန်းပြည့်၏တန်ဖိုးသည် စီမံခန့်ခွဲရေးဆိုင်ရာအခွင့်ထူးများဖြင့် လုပ်ဆောင်ခြင်းဖြင့် မဲလ်ဝဲသည် မည်သို့ဆက်လက်တည်မြဲကြောင်းသေချာစေသင့်သည်ကို ဖော်ပြသည်။

Table 2. Administrator Persistence Mechanism

ဝန်ဆောင်မှုအမည်သည် တိုးချဲ့မှုမပါဘဲ ဖိုင်အမည်ဖြစ်သည်။ ဖော်ပြသောအမည်သည် ဖိုင်တွဲ၏အမည်ဖြစ်သည်၊ သို့သော် ၎င်းရှိပြီးသားဖြစ်ပါက၊ စာသား “Revision 1” (အသုံးမပြုသော အမည်ကို ရှာမတွေ့မချင်း အရေအတွက် တိုးလာသည်။ ဝန်ဆောင်မှုမှတစ်ဆင့် ခံနိုင်ရည်ရှိမှုအား အော်ပရေတာများက သတိပြုမိသည် - ချို့ယွင်းမှုရှိပါက ဝန်ဆောင်မှုကို 1 စက္ကန့်အကြာတွင် ပြန်လည်စတင်ရမည်ဖြစ်ပါသည်။ ပြီးရင် တန်ဖိုး WOW64 ဝန်ဆောင်မှုအတွက် မှတ်ပုံတင်ကီးအသစ်ကို 4 ဟု သတ်မှတ်ထားပြီး ၎င်းသည် 32-bit ဝန်ဆောင်မှုဖြစ်ကြောင်း ညွှန်ပြသည်။

စီစဉ်ထားသော အလုပ်တစ်ခုကို COM အင်တာဖေ့စ်များစွာမှတစ်ဆင့် ဖန်တီးသည်- ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. အခြေခံအားဖြင့်၊ မဲလ်ဝဲသည် လျှို့ဝှက်လုပ်ဆောင်စရာတစ်ခုကို ဖန်တီးကာ အကောင့်အချက်အလက်ကို လက်ရှိအသုံးပြုသူ သို့မဟုတ် စီမံခန့်ခွဲသူအချက်အလက်နှင့်အတူ သတ်မှတ်ပေးကာ အစပျိုးကို သတ်မှတ်ပေးသည်။

၎င်းသည် 24 နာရီကြာချိန်နှင့် 10 မိနစ်အပြေးနှစ်ခုကြားကာလများပါရှိသောနေ့စဉ်အလုပ်ဖြစ်သည်၊ ဆိုလိုသည်မှာ၎င်းသည်အဆက်မပြတ်လည်ပတ်မည်ဖြစ်သည်။

ကြံဖန်နည်းနည်း

ကျွန်ုပ်တို့၏ဥပမာတွင်၊ အကောင်ထည်ဖော်နိုင်သည်။ TCPSVCS.exe (AcroTranscoder.exe) သည် ၎င်းနှင့်အတူ ကျဆင်းသွားသော DLLs များကို load လုပ်သည့် တရားဝင်ဆော့ဖ်ဝဲဖြစ်သည်။ ဤကိစ္စတွင်၎င်းသည်စိတ်ဝင်စားဖွယ်ဖြစ်သည်။ Flash Video Extension.dll.

၎င်း၏လုပ်ဆောင်ချက် DLLMain အခြား function ကိုခေါ်ရုံပါပဲ။ အချို့သော မရေရာသော ခန့်မှန်းချက်များ ရှိသည်-

ပုံ 7. Fuzzy ခန့်မှန်းချက်များ

ဤမှားယွင်းသောစစ်ဆေးမှုများပြီးနောက်၊ ကုဒ်သည် ကဏ္ဍတစ်ခုရရှိမည်ဖြစ်သည်။ .text ဖိုင် TCPSVCS.exe၊ ၎င်း၏ အကာအကွယ်ကို ပြောင်းလဲသည်။ PAGE_EXECUTE_READWRITE ၎င်းကို dummy ညွှန်ကြားချက်များဖြင့် ထပ်ရေးသည်-

ပုံ 8. ညွှန်ကြားချက်များ၏တစ်ဆက်တည်း

အဆုံးတွင် function ၏လိပ်စာ FLVCore::Uninitialize(void), တင်ပို့ခဲ့သည်။ Flash Video Extension.dll၊ ညွှန်ကြားချက်ကိုထည့်သွင်းထားသည်။ CALL. ဆိုလိုသည်မှာ အန္တရာယ်ရှိသော DLL ကိုတင်ပြီးနောက်၊ runtime ခေါ်ဆိုသောအခါ WinMain в TCPSVCS.exeညွှန်ပြချက်သည် NOP သို့ ညွှန်ပြမည်ဖြစ်ပြီး ခေါ်ဆိုမှုကို ဖြစ်ပေါ်စေသည်။ FLVCore::Uninitialize(void)နောက်အဆင့်။

လုပ်ဆောင်ချက်သည် ရိုးရိုးရှင်းရှင်းဖြင့် စတင်သည့် mutex ကို ဖန်တီးသည်။ {181C8480-A975-411C-AB0A-630DB8B0A221}နောက်တွင် လက်ရှိအသုံးပြုသူအမည်။ ထို့နောက် ၎င်းသည် တည်နေရာ-အမှီအခိုကင်းသော ကုဒ်ပါရှိသော စွန့်ပစ်ထားသော *.db3 ဖိုင်ကို ဖတ်ပြီး အသုံးပြုသည်။ CreateThread အကြောင်းအရာကိုလုပ်ဆောင်ရန်။

*.db3 ဖိုင်၏ အကြောင်းအရာသည် OceanLotus အဖွဲ့မှ ပုံမှန်အသုံးပြုသည့် shellcode ဖြစ်သည်။ ကျွန်ုပ်တို့ထုတ်ဝေထားသော emulator script ကို အသုံးပြု၍ ၎င်း၏ payload ကို အောင်မြင်စွာ ထပ်မံချုံ့လိုက်ပါသည်။ GitHub တွင်.

ဇာတ်ညွှန်းသည် နောက်ဆုံးအဆင့်ကို ထုတ်နုတ်သည်။ ဤအစိတ်အပိုင်းသည် ကျွန်ုပ်တို့ ခွဲခြမ်းစိပ်ဖြာပြီးသော နောက်ခံတစ်ခုဖြစ်သည်။ ယခင် OceanLotus လေ့လာမှု. ဒါကို GUID က ဆုံးဖြတ်နိုင်ပါတယ်။ {A96B020F-0000-466F-A96D-A91BBF8EAC96} binary ဖိုင်။ Malware ဖွဲ့စည်းမှုပုံစံကို PE ရင်းမြစ်တွင် ကုဒ်ဝှက်ထားဆဲဖြစ်သည်။ ၎င်းတွင် အကြမ်းဖျင်းတူညီသောဖွဲ့စည်းပုံများပါရှိသော်လည်း C&C ဆာဗာများသည် ယခင်ပုံစံများနှင့် ကွဲပြားသည်-

- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz

OceanLotus အဖွဲ့သည် ထောက်လှမ်းမှုကို ရှောင်ရှားရန် မတူညီသော နည်းလမ်းများကို ပေါင်းစပ်သရုပ်ပြပြန်သည်။ ၎င်းတို့သည် ကူးစက်မှုလုပ်ငန်းစဉ်၏ "ပြီးမြောက်သည်" အစီအစဉ်ဖြင့် ပြန်လည်ရောက်ရှိလာကြသည်။ ကျပန်းအမည်များကိုရွေးချယ်ပြီး ကျပန်းဒေတာဖြင့် executable များကိုဖြည့်ခြင်းဖြင့်၊ ၎င်းတို့သည် ယုံကြည်စိတ်ချရသော IoCs အရေအတွက် ( hashes နှင့် filenames များပေါ်အခြေခံ၍) လျှော့ချသည်။ ထို့အပြင်၊ တတိယပါတီ DLL တင်ခြင်းကို အသုံးပြုခြင်းဖြင့်၊ တိုက်ခိုက်သူများသည် တရားဝင် binary ကို ဖယ်ရှားရန်သာ လိုအပ်သည်။ AcroTranscoder.

မော်ကွန်းတိုက်များ ကိုယ်တိုင် ထုတ်ယူခြင်း။

RTF ဖိုင်များပြီးနောက်၊ အဖွဲ့သည် သုံးစွဲသူကို ပိုမိုရှုပ်ထွေးစေရန်အတွက် ဘုံစာရွက်စာတမ်းအိုင်ကွန်များပါရှိသော မှတ်တမ်းများကို ကိုယ်တိုင်ထုတ်ယူခြင်း (SFX) သို့ ပြောင်းခဲ့သည်။ Threatbook က ဒီအကြောင်းကို ရေးခဲ့တယ် (တရုတ်လို လင့်ခ်) စတင်ချိန်တွင်၊ ကိုယ်တိုင်ထုတ်ယူခြင်း RAR ဖိုင်များကို စွန့်ပစ်ပြီး .ocx တိုးချဲ့မှုပါရှိသော DLLs များကို လုပ်ဆောင်ပြီး၊ ယခင်က မှတ်တမ်းတင်ထားသည့် နောက်ဆုံးပေးချေမှု {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. 2019 ခုနှစ် ဇန်နဝါရီလလယ်ကတည်းက OceanLotus သည် ဤနည်းပညာကို ပြန်လည်အသုံးပြုနေသော်လည်း အချိန်ကြာလာသည်နှင့်အမျှ အချို့သောပုံစံများကို ပြောင်းလဲထားသည်။ ဤအပိုင်းတွင်၊ ကျွန်ုပ်တို့သည် နည်းပညာနှင့် အပြောင်းအလဲများအကြောင်း ဆွေးနွေးပါမည်။

ဆွဲဆောင်မှုတစ်ခုဖန်တီးခြင်း။

စာရွက်စာတမ်း THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (sha-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB2018 ခုနှစ်တွင် စတင်တွေ့ရှိခဲ့သည်။ ဤ SFX ဖိုင်ကို စိတ်ဖြင့် ဖန်တီးထားသည် - ဖော်ပြချက် (ဗားရှင်းအချက်အလက်) က JPEG ပုံတစ်ပုံလို့ဆိုပါတယ်။ SFX ဇာတ်ညွှန်းသည် ဤကဲ့သို့ ဖြစ်သည်-

ပုံ 9. SFX Commands

Malware သည် ပြန်လည်သတ်မှတ်သည်။ {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (sha-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC) အပြင်ပုံပါ 2018 thich thong lac.jpg.

ဖယောင်းတိုင်ပုံသည် ဤကဲ့သို့မြင်ရသည်-

ပုံ 10. Decoy ပုံ

SFX script မှ ပထမမျဉ်းနှစ်ကြောင်းသည် OCX ဖိုင်ကို နှစ်ကြိမ်ခေါ်ဆိုသည်ကို သတိပြုမိနိုင်သော်လည်း ၎င်းသည် အမှားအယွင်းမဟုတ်ပေ။

{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)

OCX ဖိုင်၏ ထိန်းချုပ်စီးဆင်းမှုသည် အခြားသော OceanLotus အစိတ်အပိုင်းများနှင့် အလွန်ဆင်တူသည် - အမိန့်ပေးသည့် အတွဲများစွာ JZ/JNZ и PUSH/RETအမှိုက်ကုဒ်တွေနဲ့ ရောယှက်နေတယ်။

ပုံ 11။ ရှုပ်ယှက်ခတ်နေသော ကုဒ်

အမှိုက်ကုဒ်ကို စစ်ထုတ်ပြီးနောက်၊ တင်ပို့ပါ။ DllRegisterServer, ခေါ်သည် regsvr32.exe, ဖော်ပြပါအတိုင်း:

ပုံ 12။ ပင်မထည့်သွင်းသူကုဒ်

အခြေခံအားဖြင့် ပထမဦးဆုံးအကြိမ် ဖုန်းခေါ်ခြင်းဖြစ်သည်။ DllRegisterServer တင်ပို့မှုသည် မှတ်ပုံတင်တန်ဖိုးကို သတ်မှတ်သည်။ HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model DLL တွင် စာဝှက်ထားသော အော့ဖ်ဆက်အတွက် (0x10001DE0).

လုပ်ဆောင်ချက်ကို ဒုတိယအကြိမ်ဟုခေါ်သောအခါ၊ ၎င်းသည် တူညီသောတန်ဖိုးကိုဖတ်ပြီး ထိုလိပ်စာတွင် လုပ်ဆောင်သည်။ ဤနေရာမှ၊ ရင်းမြစ်ကို ဖတ်ပြီး လုပ်ဆောင်ပြီး လုပ်ဆောင်ချက်များ အများအပြားကို RAM တွင် လုပ်ဆောင်သည်။

shellcode သည် ယခင် OceanLotus ကမ်ပိန်းများတွင် အသုံးပြုခဲ့သည့် PE loader နှင့် တူညီပါသည်။ ဖြင့် အတုယူနိုင်ပါသည်။ ငါတို့ရဲ့ဇာတ်ညွှန်း. နောက်ဆုံးတော့ သူ ပြုတ်ကျသွားတယ်။ db293b825dcc419ba7dc2c49fa2757ee.dll၊ ၎င်းကို memory ထဲသို့တင်ပြီး execute လုပ်ပါ။ DllEntry.

DLL သည် ၎င်း၏ရင်းမြစ်၏ အကြောင်းအရာများကို ထုတ်ယူပြီး (AES-256-CBC) ကို ကုဒ်ဝှက်ပြီး (LZMA) ကို ချုံ့သည်။ အရင်းအမြစ်တွင် စုစည်းရန် လွယ်ကူသော သီးခြားဖော်မတ်တစ်ခု ရှိသည်။

ပုံ 13။ တပ်ဆင်သူ ဖွဲ့စည်းမှုပုံစံဖွဲ့စည်းပုံ (KaitaiStruct Visualizer)

ဖွဲ့စည်းမှုပုံစံကို အတိအလင်း သတ်မှတ်ထားသည် - အခွင့်ထူးခံအဆင့်ပေါ် မူတည်၍ binary ဒေတာကို ရေးပေးမည် %appdata%IntellogsBackgroundUploadTask.cpl သို့မဟုတ် %windir%System32BackgroundUploadTask.cpl (သို့မဟုတ် SysWOW64 64-bit စနစ်များအတွက်) ။

အမည်ပေးထားသော အလုပ်တစ်ခုကို ဖန်တီးခြင်းဖြင့် ဆက်လက်တည်မြဲမှုကို သေချာစေသည်။ BackgroundUploadTask[junk].jobဘယ်မှာ [junk] bytes အစုတစ်ခုဖြစ်သည်။ 0x9D и 0xA0.

Task application အမည် %windir%System32control.exeနှင့် parameter ၏တန်ဖိုးသည် ဒေါင်းလုဒ်လုပ်ထားသော binary ဖိုင်ဆီသို့ လမ်းကြောင်းဖြစ်သည်။ ဝှက်ထားသော အလုပ်သည် နေ့တိုင်း အလုပ်လုပ်သည်။

ဖွဲ့စည်းပုံအရ၊ CPL ဖိုင်သည် အတွင်းအမည်တစ်ခုပါရှိသော DLL ဖြစ်သည်။ ac8e06de0a6c4483af9837d96504127e.dllလုပ်ဆောင်ချက်ကို တင်ပို့သည်။ CPlApplet. ဤဖိုင်သည် ၎င်း၏တစ်ခုတည်းသော အရင်းအမြစ်ကို ကုဒ်ဝှက်သည်။ {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dllထို့နောက် DLL ကို တင်ပြီး ၎င်း၏ တစ်ခုတည်းသော တင်ပို့မှုကို ခေါ်သည်။ DllEntry.

နောက်ခံဖွဲ့စည်းမှုဖိုင်

backdoor configuration ကို ကုဒ်ဝှက်ထားပြီး ၎င်း၏အရင်းအမြစ်များတွင် ထည့်သွင်းထားသည်။ configuration file ၏ ဖွဲ့စည်းပုံသည် ယခင်ဖိုင်နှင့် အလွန်ဆင်တူသည်။

ပုံ 14။ နောက်ခံဖွဲ့စည်းပုံဖွဲ့စည်းပုံ (KaitaiStruct Visualizer)

တူညီသောဖွဲ့စည်းပုံရှိသော်လည်း၊ များစွာသောနယ်ပယ်များ၏တန်ဖိုးများကိုပြသထားသောဒေတာများနှင့်နှိုင်းယှဉ်ပါ။ ကျွန်တော်တို့ရဲ့ အစီရင်ခံစာဟောင်း.

binary array ၏ပထမဒြပ်စင်တွင် DLL ပါဝင်သည် (HttpProv.dll MD5 2559738D1BD4A999126F900C7357B759), Tencent မှဖော်ထုတ်ခဲ့သည်။. သို့သော် ပို့ကုန်အမည်ကို binary မှ ဖယ်ရှားလိုက်သောကြောင့်၊ hash များသည် မကိုက်ညီပါ။

ထပ်လောင်းသုတေသန

နမူနာများကို စုဆောင်းရာတွင် အချို့သော ဝိသေသလက္ခဏာများကို အာရုံစိုက်ခဲ့ပါသည်။ ဖော်ပြထားသည့်နမူနာသည် 2018 ခုနှစ် ဇူလိုင်လဝန်းကျင်တွင် ပေါ်လာပြီး မကြာသေးမီကပင်၊ ဇန်နဝါရီလလယ်ပိုင်းမှ 2019 ခုနှစ် ဖေဖော်ဝါရီလအစောပိုင်းတွင် ပေါ်လာသည်။ SFX မှတ်တမ်းကို ကူးစက်မှုဆိုင်ရာ အားနည်းချက်တစ်ခုအဖြစ် အသုံးပြုခဲ့ပြီး တရားဝင် လှည့်ကွက်စာရွက်စာတမ်းနှင့် အန္တရာယ်ရှိသော OCX ဖိုင်ကို စွန့်ပစ်ခဲ့သည်။

OceanLotus သည် အချိန်တံဆိပ်တုံးအတုများကို အသုံးပြုသော်လည်း၊ SFX နှင့် OCX ဖိုင်များ၏ အချိန်တံဆိပ်များသည် အမြဲတမ်းအတူတူဖြစ်ကြောင်း ကျွန်ုပ်တို့သတိပြုမိသည် (0x57B0C36A (08/14/2016 @ 7:15pm UTC) နှင့် 0x498BE80F (02/06/2009 @ 7:34am UTC) အသီးသီး။ ဤသည်မှာ စာရေးဆရာများတွင် တူညီသော ပုံစံများကို အသုံးပြု၍ အချို့သော ဝိသေသလက္ခဏာများကို ပြောင်းလဲစေသော "တည်ဆောက်သူ" တစ်မျိုးမျိုးရှိကြောင်း ညွှန်ပြနေပေမည်။

2018 ခုနှစ်အစကတည်းက ကျွန်ုပ်တို့လေ့လာခဲ့သည့် စာရွက်စာတမ်းများထဲတွင်၊ စိတ်ဝင်စားဖွယ်တိုက်ခိုက်နေသောနိုင်ငံများကို ညွှန်ပြသော အမည်အမျိုးမျိုးရှိသည်။

- ကမ္ဘောဒီးယားမီဒီယာ (New.xls.exe) ၏ ဆက်သွယ်ရန်အချက်အလက်အသစ်
- 李建香 (个人简历).exe (CV ၏ pdf စာရွက်စာတမ်းအတု)
— တုံ့ပြန်ချက်၊ ဇူလိုင်လ 28-29၊ 2018.exe မှ USA တွင် Rally

နောက်ကွယ်မှရှာဖွေတွေ့ရှိကတည်းက {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll နှင့် သုတေသီအများအပြားက ၎င်း၏ခွဲခြမ်းစိတ်ဖြာချက်ကို ထုတ်ဝေခြင်းဖြင့် malware ဖွဲ့စည်းမှုဆိုင်ရာဒေတာတွင် ပြောင်းလဲမှုအချို့ကို ကျွန်ုပ်တို့ တွေ့ရှိခဲ့သည်။

ပထမဦးစွာစာရေးဆရာများသည်အကူအညီပေးသူ DLL DLLs များမှအမည်များကိုစတင်ဖယ်ရှားခဲ့သည် (DNSprov.dll ဗားရှင်းနှစ်မျိုး HttpProv.dll) ထို့နောက်အော်ပရေတာများသည်တတိယ DLL (ဒုတိယဗားရှင်းကိုထုပ်ပိုးခြင်းကိုရပ်တန့်ခဲ့သည်။ HttpProv.dll) တစ်ခုတည်းကို မြှုပ်နှံရန် ရွေးချယ်ခြင်း။

ဒုတိယအနေဖြင့်၊ IoC အများအပြားရရှိနိုင်လာသည်နှင့်အမျှ ထောက်လှမ်းမှုကို ရှောင်ရှားရန်အတွက် နောက်ခံဖွဲ့စည်းမှုအကွက်များစွာကို ပြောင်းလဲထားသည်။ စာရေးဆရာများ ပြုပြင်မွမ်းမံထားသော အရေးကြီးသော နယ်ပယ်များထဲတွင် အောက်ပါတို့ ပါဝင်သည်။

• ပြောင်းလဲထားသော မှတ်ပုံတင်ကီး AppX (IoCs ကိုကြည့်ပါ)
• mutex ကုဒ်ဝှက်ခြင်း စာကြောင်း ("def", "abc", "ghi")
• ဆိပ်ကမ်းနံပါတ်

နောက်ဆုံးတွင်၊ ခွဲခြမ်းစိတ်ဖြာထားသော ဗားရှင်းအသစ်များအားလုံးတွင် IoCs ကဏ္ဍတွင် ဖော်ပြထားသော C&C အသစ်များရှိသည်။

တွေ့ရှိချက်များ

OceanLotus သည် ဆက်လက်တိုးတက်နေပါသည်။ ဆိုက်ဘာအဖွဲ့သည် ကိရိယာများနှင့် လှည့်စားမှုများကို သန့်စင်ခြင်းနှင့် ချဲ့ထွင်ခြင်းအပေါ် အာရုံစိုက်ထားသည်။ စာရေးဆရာများသည် ရည်ရွယ်ခံရသူများနှင့် သက်ဆိုင်သည့် အာရုံစူးစိုက်မှုရှိသော စာရွက်စာတမ်းများဖြင့် အန္တရာယ်ရှိသော ဝန်ထုပ်ဝန်ပိုးများကို ဖုံးကွယ်ထားသည်။ ၎င်းတို့သည် ဆားကစ်အသစ်များကို တီထွင်ပြီး Equation Editor exploit ကဲ့သို့သော အများသူငှာရရှိနိုင်သော ကိရိယာများကိုလည်း အသုံးပြုပါသည်။ ထို့အပြင်၊ ၎င်းတို့သည် သားကောင်များ၏ စက်များတွင် ကျန်ရစ်ခဲ့သော ရှေးဟောင်းပစ္စည်း အရေအတွက်ကို လျှော့ချရန် ကိရိယာများကို ပိုမိုကောင်းမွန်အောင် လုပ်ဆောင်နေပြီး ဗိုင်းရပ်စ်နှိမ်နင်းရေး ဆော့ဖ်ဝဲလ်မှ ရှာဖွေတွေ့ရှိနိုင်ခြေကို လျှော့ချပေးသည်။

အပေးအယူအညွှန်းများ

အပေးအယူလုပ်ခြင်းဆိုင်ရာ အညွှန်းကိန်းများအပြင် MITER ATT&CK ရည်ညွှန်းချက်များကို ရရှိနိုင်ပါသည်။ Welivesecurity ပေါ်တွင် и GitHub တွင်.

source: www.habr.com