OceanLotus cybergroup (APT32 සහ APT-C-00) මෑතකදී ප්රසිද්ධියේ ලබා ගත හැකි සූරාකෑම් වලින් එකක් භාවිතා කළ ආකාරය පළ කිරීමෙහි අපි ඔබට කියන්නෙමු.
OceanLotus සයිබර් ඔත්තු බැලීම සඳහා විශේෂීකරණය කරයි, ප්රමුඛතා ඉලක්ක වන්නේ අග්නිදිග ආසියාවේ රටවල් වේ. ප්රහාරකයින් විභව වින්දිතයින්ගේ අවධානය ආකර්ෂණය කර ගන්නා ලේඛන ව්යාජ ලෙස සකස් කරන්නේ ඔවුන්ට පසුබිම් දොරක් ගෙන යාමට ඒත්තු ගැන්වීමට සහ මෙවලම් සංවර්ධනය කිරීමට ද කටයුතු කරයි. Honeypots නිර්මාණය කිරීමට භාවිතා කරන ක්රම විවිධ ප්රහාර වලදී වෙනස් වේ - "ද්විත්ව දිගු" ගොනු, ස්වයං-නිස්සාරණ ලේඛනාගාර, සාර්ව ලේඛන, සුප්රසිද්ධ සූරාකෑම් දක්වා.
Microsoft Equation Editor හි ඇති සූරාකෑම භාවිතා කිරීම
2018 මැද භාගයේදී, OceanLotus විසින් CVE-2017-11882 අවදානම ගසාකමින් ව්යාපාරයක් දියත් කරන ලදී. තර්ජන බුද්ධි මධ්යස්ථාන විශේෂඥයින් 360ක් විසින් සයිබර් සමූහයේ එක් ද්වේෂ සහගත ලේඛනයක් විශ්ලේෂණය කරන ලදී (
පළමු අදියර
ලේඛනය FW Report on demonstration of former CNRP in Republic of Korea.doc
(ශා-1: D1357B284C951470066AAA7A8228190B88A5C7C3
) ඉහත අධ්යයනයේ සඳහන් ආකාරයට සමාන වේ. එය කාම්බෝජ දේශපාලනය ගැන උනන්දුවක් දක්වන පරිශීලකයින් ඉලක්ක කර තිබීම සිත්ගන්නා කරුණකි (CNRP - Cambodia National Salvation Party, 2017 අවසානයේ විසුරුවා හරින ලදි). .doc දිගුව තිබියදීත්, ලේඛනය RTF ආකෘතියෙන් ඇත (පහත රූපය බලන්න), නිසරු කේතය අඩංගු වන අතර, එය ද අවුල් කර ඇත.
රූපය 1. RTF හි කුණු
විකෘති මූලද්රව්ය තිබියදීත්, Word මෙම RTF ගොනුව සාර්ථකව විවෘත කරයි. ඔබට රූප සටහන 2 හි දැකිය හැකි පරිදි, මෙහි EQNOLEFILEHDR ව්යුහයක් 0xC00 හි ඕෆ්සෙට් කර MTEF ශීර්ෂයක් සහ පසුව අකුරු සඳහා MTEF ප්රවේශයක් (රූපය 3) ඇත.
රූපය 2. FONT වාර්තා අගයන්
පින්තූරය 3.
විය හැකි ක්ෂේත්ර පිටාර ගැලීම නාමය, පිටපත් කිරීමට පෙර එහි විශාලත්වය පරීක්ෂා නොකරන බැවිනි. ඉතා දිගු නම අවදානම අවුලුවයි. RTF ගොනුවේ අන්තර්ගතයෙන් ඔබට පෙනෙන පරිදි (රූප සටහන 0 හි 26xC2 ඕෆ්සෙට් කර ඇත), බෆරය shellcode වලින් පිරී ඇති අතර පසුව ව්යාජ විධානයක් (0x90
) සහ ආපසු ලිපිනය 0x402114
. ලිපිනය සංවාද අංගයකි EQNEDT32.exe
උපදෙස් වෙත යොමු කිරීම RET
. මෙය EIP ක්ෂේත්රයේ ආරම්භය වෙත යොමු කිරීමට හේතු වේ නාමයෂෙල් කේතය අඩංගු වේ.
Figure 4. exploit shellcode ආරම්භය
ලිපිනය 0x45BD3C
දැනට පටවා ඇති ව්යුහයට පොයින්ටරයකට ළඟා වන තෙක් විචල්යයක් ගබඩා කරයි MTEFData
. මෙන්න ඉතිරි shellcode එක.
shellcode හි පරමාර්ථය වන්නේ විවෘත ලේඛනයේ කාවැද්දූ දෙවන shellcode කොටස ක්රියාත්මක කිරීමයි. පළමුව, මුල් shellcode මඟින් විවෘත ලේඛනයේ ගොනු විස්තරය සොයා ගැනීමට උත්සාහ කරන්නේ සියලුම පද්ධති විස්තර මත පුනරාවර්තනය කිරීමෙනි (NtQuerySystemInformation
තර්කයක් සමඟ SystemExtendedHandleInformation
) සහ ඒවා ගැලපෙන්නේ දැයි පරීක්ෂා කිරීම PID විස්තර කරන්නා සහ PID ක්රියාවලිය WinWord
සහ ලේඛනය ප්රවේශ වෙස් මුහුණකින් විවෘත කර තිබේද - 0x12019F
.
නිවැරදි හසුරුව සොයාගත් බව තහවුරු කිරීම සඳහා (වෙනත් විවෘත ලේඛනයක හසුරුව නොවේ), ගොනුවේ අන්තර්ගතය ශ්රිතය භාවිතයෙන් පෙන්වනු ලැබේ. CreateFileMapping
, සහ shellcode ලේඛනයේ අවසාන බයිට් හතර ගැලපේදැයි පරීක්ෂා කරයි "yyyy
» (බිත්තර දඩයම් ක්රමය). ගැලපීමක් සොයාගත් පසු, ලේඛනය තාවකාලික ෆෝල්ඩරයකට පිටපත් කරනු ලැබේ (GetTempPath
) කෙසේද ole.dll
. එවිට ලේඛනයේ අවසාන බයිට් 12 කියවනු ලැබේ.
රූපය 5. ලේඛන අවසන් සලකුණු
සලකුණු අතර බිට් 32 අගය AABBCCDD
и yyyy
ඊළඟ shellcode හි ඕෆ්සෙට් වේ. එය ශ්රිතයක් සමඟ හැඳින්වේ CreateThread
. මීට පෙර OceanLotus කණ්ඩායම විසින් භාවිතා කරන ලද එම shellcode උපුටා ගන්නා ලදී.
දෙවන අදියර
සංරචක උපුටා ගැනීම
ගොනු සහ නාමාවලි නම් ගතිකව තෝරා ගනු ලැබේ. කේතය අහඹු ලෙස ක්රියාත්මක කළ හැකි හෝ DLL ගොනුවක නම තෝරා ගනී C:Windowssystem32
. එය පසුව එහි සම්පත් සඳහා ඉල්ලීමක් කර ක්ෂේත්රය ලබා ගනී FileDescription
ෆෝල්ඩරයේ නම ලෙස භාවිතා කිරීමට. එය ක්රියා නොකරන්නේ නම්, කේතය අහඹු ලෙස නාමාවලි වලින් ෆෝල්ඩර නාමයක් තෝරා ගනී %ProgramFiles%
හෝ C:Windows
(GetWindowsDirectoryW වෙතින්). එය පවතින ගොනු සමඟ ගැටෙන නමක් භාවිතා කිරීමෙන් වළකින අතර එහි පහත වචන අඩංගු නොවන බවට වග බලා ගනී: windows
, Microsoft
, desktop
, system
, system32
හෝ syswow64
. නාමාවලිය දැනටමත් පවතී නම්, "NLS_{6 අක්ෂර}" නමට එකතු වේ.
සම්පත් 0x102
විග්රහ කර ලිපිගොනු දමා ඇත %ProgramFiles%
හෝ %AppData%
, අහඹු ලෙස තෝරාගත් ෆෝල්ඩරයකට. නිර්මාණ කාලය එකම අගයන් ඇති බවට වෙනස් විය kernel32.dll
.
උදාහරණයක් ලෙස, ක්රියාත්මක කළ හැකි තේරීමෙන් සාදන ලද ෆෝල්ඩරය සහ ගොනු ලැයිස්තුව මෙන්න C:Windowssystem32TCPSVCS.exe
දත්ත මූලාශ්රයක් ලෙස.
රූපය 6. විවිධ සංරචක නිස්සාරණය කිරීම
සම්පත් ව්යුහය 0x102
dropper එකක තරමක් සංකීර්ණයි. කෙටියෙන් කිවහොත්, එහි අඩංගු වන්නේ:
- ගොනු නම්
- ගොනු විශාලත්වය සහ අන්තර්ගතය
- සම්පීඩන ආකෘතිය (COMPRESSION_FORMAT_LZNT1
ශ්රිතය මගින් භාවිතා වේ RtlDecompressBuffer
)
පළමු ගොනුව ලෙස ඩම්ප් කර ඇත TCPSVCS.exe
, නීත්යානුකූල වන AcroTranscoder.exe
(අනුව FileDescription
, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3
).
සමහර DLL ගොනු 11MB ට වඩා විශාල බව ඔබ දැක ඇති. මක්නිසාද යත්, ක්රියාත්මක කළ හැකි එක තුළ විශාල අහඹු දත්ත බෆරයක් තබා ඇති බැවිනි. සමහර ආරක්ෂක නිෂ්පාදන මගින් අනාවරණය වීම වළක්වා ගැනීමට මෙය ක්රමයක් විය හැකිය.
අඛණ්ඩ පැවැත්ම සහතික කිරීම
සම්පත් 0x101
dropper හි 32-bit පූර්ණ සංඛ්යා දෙකක් අඩංගු වන අතර එය ස්ථීරභාවය බලාත්මක කළ යුතු ආකාරය සඳහන් කරයි. පරිපාලක අයිතිවාසිකම් නොමැතිව අනිෂ්ට මෘදුකාංග පවතිනු ඇති ආකාරය පළමු අගය සඳහන් කරයි.
වගුව 1. පරිපාලක නොවන ස්ථීර යාන්ත්රණය
දෙවන නිඛිලයේ අගය, අනිෂ්ට මෘදුකාංග පරිපාලන වරප්රසාද සමඟින් ක්රියාත්මක වීම මගින් අඛණ්ඩ පැවැත්ම සහතික කළ යුතු ආකාරය සඳහන් කරයි.
වගුව 2. පරිපාලක ස්ථීර යාන්ත්රණය
සේවා නාමය දිගුවකින් තොරව ගොනු නාමයයි; සංදර්ශක නාමය ෆෝල්ඩරයේ නම වේ, නමුත් එය දැනටමත් පවතී නම්, string "Revision 1
” (භාවිතා නොකළ නමක් සොයා ගන්නා තෙක් සංඛ්යාව වැඩි වේ). සේවාව හරහා පවතින අඛණ්ඩ පැවැත්ම ප්රත්යස්ථ බව ක්රියාකරුවන් වග බලා ගෙන ඇත - අසාර්ථක වූ විට, සේවාව තත්පර 1 කින් පසු නැවත ආරම්භ කළ යුතුය. එවිට වටිනාකම WOW64
සේවාව සඳහා නව රෙජිස්ට්රි යතුර 4 ලෙස සකසා ඇති අතර, මෙය බිට් 32 සේවාවක් බව පෙන්නුම් කරයි.
COM අතුරුමුහුණත් කිහිපයක් හරහා නියමිත කාර්යයක් නිර්මාණය කර ඇත: ITaskScheduler
, ITask
, ITaskTrigger
, IPersistFile
и ITaskScheduler
. අත්යවශ්යයෙන්ම, අනිෂ්ට මෘදුකාංගය සැඟවුණු කාර්යයක් නිර්මාණය කරයි, වත්මන් පරිශීලක හෝ පරිපාලක තොරතුරු සමඟ ගිණුම් තොරතුරු සකසයි, පසුව ප්රේරකය සකසයි.
මෙය දෛනික කාර්යයක් වන අතර පැය 24 ක කාලයක් සහ මිනිත්තු 10 ක ධාවන දෙකක් අතර කාල පරතරයක් ඇත, එයින් අදහස් වන්නේ එය නිරන්තරයෙන් ක්රියාත්මක වන බවයි.
ද්වේෂ සහගත ටිකක්
අපගේ උදාහරණයේ, ක්රියාත්මක කළ හැකි TCPSVCS.exe
(AcroTranscoder.exe
) යනු නීත්යානුකූල මෘදුකාංගයක් වන අතර එය සමඟ අතහැර දැමූ DLL පටවනු ලැබේ. මෙම අවස්ථාවේ දී, එය උනන්දුවක් දක්වයි Flash Video Extension.dll
.
එහි කාර්යය DLLMain
හුදෙක් වෙනත් කාර්යයක් අමතන්න. නොපැහැදිලි අනාවැකි කිහිපයක් තිබේ:
රූපය 7. Fuzzy අනාවැකි
මෙම නොමඟ යවනසුලු චෙක්පත් වලින් පසුව, කේතයට කොටසක් ලැබේ .text
ගොනුව TCPSVCS.exe
, එහි ආරක්ෂාව වෙනස් කරයි PAGE_EXECUTE_READWRITE
සහ ව්යාජ උපදෙස් සමඟ එය උඩින් ලියයි:
රූපය 8. උපදෙස් අනුපිළිවෙල
අවසානයේ කාර්යයේ ලිපිනය වෙත FLVCore::Uninitialize(void)
, අපනයනය කරන ලදී Flash Video Extension.dll
, උපදෙස් එකතු කර ඇත CALL
. මෙයින් අදහස් කරන්නේ අනිෂ්ට DLL පූරණය වූ පසු, ධාවන කාලය ඇමතීමෙන් පසුව බවයි WinMain
в TCPSVCS.exe
, උපදෙස් දර්ශකය NOP වෙත යොමු කරනු ඇත, එහි ප්රතිඵලයක් ලෙස ඇමතුමක් ලැබෙනු ඇත FLVCore::Uninitialize(void)
, ඊළඟ අදියර.
ශ්රිතය සරලව ආරම්භ වන mutex නිර්මාණය කරයි {181C8480-A975-411C-AB0A-630DB8B0A221}
වත්මන් පරිශීලක නාමය අනුගමනය කරයි. පසුව එය ස්ථාන-ස්වාධීන කේතය අඩංගු ඩම්ප් කරන ලද *.db3 ගොනුව කියවා භාවිතා කරයි CreateThread
අන්තර්ගතය ක්රියාත්මක කිරීමට.
*.db3 ගොනුවේ අන්තර්ගතය OceanLotus කණ්ඩායම සාමාන්යයෙන් භාවිතා කරන shellcode වේ. අප විසින් ප්රකාශයට පත් කරන ලද ඉමුලේටර් ස්ක්රිප්ටය භාවිතයෙන් අපි නැවතත් එහි ගෙවීම් සාර්ථකව විසන්ධි කළෙමු.
පිටපත අවසාන අදියර ලබා ගනී. මෙම සංරචකය අප දැනටමත් විශ්ලේෂණය කර ඇති පසුබිමකි {A96B020F-0000-466F-A96D-A91BBF8EAC96}
ද්විමය ගොනුව. අනිෂ්ට මෘදුකාංග වින්යාසය තවමත් PE සම්පත තුළ සංකේතනය කර ඇත. එය දළ වශයෙන් එකම වින්යාසය ඇත, නමුත් C&C සේවාදායකයන් පෙර ඒවාට වඩා වෙනස් ය:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
OceanLotus කණ්ඩායම නැවතත් හඳුනාගැනීම වැළැක්වීම සඳහා විවිධ ශිල්පීය ක්රමවල එකතුවක් පෙන්නුම් කරයි. ඔවුන් ආපසු පැමිණියේ ආසාදන ක්රියාවලියේ "නිමි" යෝජනා ක්රමයක් සමඟිනි. අහඹු නම් තෝරා ගැනීමෙන් සහ අහඹු දත්ත සමඟ ක්රියාත්මක කළ හැකි ඒවා පිරවීමෙන්, ඒවා විශ්වාසදායක IoC ගණන (හැෂ් සහ ගොනු නාම මත පදනම්ව) අඩු කරයි. එපමනක් නොව, තෙවන පාර්ශවීය DLL පැටවීම භාවිතා කිරීමෙන්, ප්රහාරකයින්ට නීත්යානුකූල ද්විමය ඉවත් කිරීමට පමණක් අවශ්ය වේ AcroTranscoder
.
ස්වයං-නිස්සාරණය ලේඛනාගාරය
RTF ගොනු වලින් පසුව, පරිශීලකයා තවදුරටත් ව්යාකූල කිරීම සඳහා සමූහය පොදු ලේඛන අයිකන සහිත ස්වයං-නිස්සාරණ (SFX) ලේඛනාගාර වෙත මාරු විය. තර්ජන පොත ඒ ගැන ලිවීය ({A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
. 2019 ජනවාරි මැද සිට, OceanLotus විසින් මෙම ක්රමය නැවත භාවිතා කරයි, නමුත් කාලයත් සමඟ සමහර වින්යාසයන් වෙනස් කරයි. මෙම කොටසේදී, අපි තාක්ෂණය සහ වෙනස්කම් ගැන කතා කරමු.
ආකර්ෂණයක් නිර්මාණය කිරීම
ලේඛනය THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE
(ශා-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB
) 2018 දී මුලින්ම සොයා ගන්නා ලදී. මෙම SFX ගොනුව මනසින් නිර්මාණය කර ඇත - විස්තරයේ (අනුවාද තොරතුරු) එය JPEG රූපයක් බව පවසයි. SFX ස්ක්රිප්ට් එක මෙහෙමයි.
රූපය 9. SFX විධාන
අනිෂ්ට මෘදුකාංග නැවත සකසයි {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx
(ශා-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC
), මෙන්ම පින්තූරයක් 2018 thich thong lac.jpg.
රැවටිලි රූපය මේ වගේ ය:
රූපය 10. Decoy Image
SFX ස්ක්රිප්ට් එකේ පළමු පේළි දෙක OCX ගොනුව දෙවරක් අමතන බව ඔබ දැක ඇති නමුත් මෙය දෝෂයක් නොවේ.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
OCX ගොනුවේ පාලන ප්රවාහය අනෙකුත් OceanLotus සංරචක වලට බෙහෙවින් සමාන වේ - බොහෝ විධාන අනුපිළිවෙලවල් JZ/JNZ
и PUSH/RET
නිසරු කේතය සමඟ අන්තර් සම්බන්ධිත.
රූපය 11. අපැහැදිලි කේතය
කසළ කේතය පෙරීමෙන් පසු අපනයනය DllRegisterServer
, නමින් regsvr32.exe
, පහත පරිදි:
රූපය 12. ප්රධාන ස්ථාපක කේතය
මූලික වශයෙන්, ඔබ ඇමතූ පළමු අවස්ථාව DllRegisterServer
අපනයන කට්ටල රෙජිස්ට්රි අගය HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model
DLL හි සංකේතාත්මක ඕෆ්සෙට් සඳහා (0x10001DE0
).
ශ්රිතය දෙවන වර ඇමතූ විට, එය එම අගයම කියවා එම ලිපිනයේ ක්රියාත්මක වේ. මෙතැන් සිට, සම්පත කියවා ක්රියාත්මක කරනු ලබන අතර, බොහෝ ක්රියාවන් RAM හි සිදු කරනු ලැබේ.
Shellcode යනු පසුගිය OceanLotus ප්රචාරණ වලදී භාවිතා කරන ලද PE ලෝඩරයම වේ. එය අනුකරණය කළ හැකිය db293b825dcc419ba7dc2c49fa2757ee.dll
, එය මතකයට පටවා ක්රියාත්මක කරයි DllEntry
.
ඩීඑල්එල් එහි සම්පතේ අන්තර්ගතය නිස්සාරණය කරයි, විකේතනය කරයි (AES-256-CBC) සහ එය විසංයෝජනය කරයි (LZMA). සම්පතට විසංයෝජනය කිරීමට පහසු විශේෂිත ආකෘතියක් ඇත.
රූපය 13. ස්ථාපක වින්යාස ව්යුහය (KaitaiStruct Visualizer)
වින්යාසය පැහැදිලිව සකසා ඇත - වරප්රසාද මට්ටම අනුව, ද්විමය දත්ත ලියා ඇත %appdata%IntellogsBackgroundUploadTask.cpl
හෝ %windir%System32BackgroundUploadTask.cpl
(හෝ SysWOW64
64-bit පද්ධති සඳහා).
නම් කරන ලද කාර්යයක් නිර්මාණය කිරීමෙන් තවදුරටත් නොනැසී පැවතීම සහතික කෙරේ BackgroundUploadTask[junk].job
කොහෙද [junk]
බයිට් කට්ටලයකි 0x9D
и 0xA0
.
කාර්යය යෙදුමේ නම %windir%System32control.exe
, සහ පරාමිතියේ අගය බාගත කළ ද්විමය ගොනුව වෙත මාර්ගය වේ. සැඟවුණු කාර්යය සෑම දිනකම ක්රියාත්මක වේ.
ව්යුහාත්මකව, CPL ගොනුවක් යනු අභ්යන්තර නමක් සහිත DLL වේ ac8e06de0a6c4483af9837d96504127e.dll
, ශ්රිතය අපනයනය කරන CPlApplet
. මෙම ගොනුව එහි එකම සම්පත විකේතනය කරයි {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
, පසුව එම DLL පූරණය කර එහි එකම අපනයනය අමතන්න DllEntry
.
පසුබිම් වින්යාස ගොනුව
පසුපස දොර වින්යාසය සංකේතනය කර එහි සම්පත් වල තැන්පත් කර ඇත. වින්යාස ගොනුවේ ව්යුහය පෙර එකට බෙහෙවින් සමාන ය.
රූපය 14. පසුබිම් වින්යාස ව්යුහය (KaitaiStruct Visualizer)
සමාන ව්යුහයක් තිබියදීත්, පෙන්වා ඇති දත්තවලට සාපේක්ෂව බොහෝ ක්ෂේත්රවල අගයන් යාවත්කාලීන කර ඇත
ද්විමය අරාවේ පළමු මූලද්රව්යයේ DLL (HttpProv.dll
MD5: 2559738D1BD4A999126F900C7357B759
),
අතිරේක පර්යේෂණ
සාම්පල එකතු කිරීම, අපි සමහර ලක්ෂණ කෙරෙහි අවධානය යොමු කළෙමු. දැන් විස්තර කර ඇති නියැදිය 2018 ජූලි මාසයේදී පමණ දර්ශනය වූ අතර, එය වැනි අනෙකුත් ඒවා වඩාත් මෑතකදී, ජනවාරි මැද - 2019 පෙබරවාරි මස මුලදී දර්ශනය විය. SFX ලේඛනාගාරයක් ආසාදන දෛශිකයක් ලෙස භාවිතා කරන ලද අතර, නීත්යානුකූල ව්යාජ ලේඛනයක් සහ අනිෂ්ට OCX ගොනුවක් අතහැර දමයි.
OceanLotus ව්යාජ වේලා මුද්රා භාවිතා කළද, SFX සහ OCX ගොනු වල වේලා මුද්රා සෑම විටම සමාන බව අපි දුටුවෙමු (0x57B0C36A
(08/14/2016 @ 7:15pm UTC) සහ 0x498BE80F
(02/06/2009 @ 7:34 am UTC) පිළිවෙලින්). කතුවරුන්ට එකම සැකිලි භාවිතා කරන සහ සමහර ලක්ෂණ වෙනස් කරන යම් ආකාරයක "නිර්මාණකරුවෙකු" ඇති බව මෙයින් ඇඟවෙනු ඇත.
2018 ආරම්භයේ සිට අප අධ්යයනය කර ඇති ලේඛන අතර, ප්රහාර එල්ල කරන රටවල් පිළිබඳ විවිධ නම් තිබේ:
- කාම්බෝජ මාධ්යයේ නව සම්බන්ධතා තොරතුරු (New).xls.exe
- 李建香 (个人简历).exe (CV එකක ව්යාජ pdf ලේඛනය)
- ප්රතිපෝෂණ, 28 ජූලි 29-2018 සිට USA හි රැලිය.exe
පිටුපස දොර සොයාගැනීමේ සිට {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
සහ පර්යේෂකයන් කිහිප දෙනෙකු විසින් එහි විශ්ලේෂණය ප්රකාශයට පත් කිරීම, අපි අනිෂ්ට මෘදුකාංග වින්යාස දත්තවල යම් යම් වෙනස්කම් නිරීක්ෂණය කළෙමු.
පළමුව, කතුවරුන් උපකාරක DLL DLL වලින් නම් ඉවත් කිරීමට පටන් ගත්හ (DNSprov.dll
සහ අනුවාද දෙකක් HttpProv.dll
) එවිට ක්රියාකරුවන් තුන්වන ඩීඑල්එල් (දෙවන අනුවාදය) ඇසුරුම් කිරීම නැවැත්වීය HttpProv.dll
), එකක් පමණක් කාවැද්දීමට තෝරා ගැනීම.
දෙවනුව, බොහෝ IoCs ලබා ගත හැකි බැවින් හඳුනාගැනීම වැළැක්වීම සඳහා බොහෝ පසුබිම් වින්යාස ක්ෂේත්ර වෙනස් කර ඇත. කතුවරුන් විසින් වෙනස් කරන ලද වැදගත් ක්ෂේත්ර අතර පහත දැක්වේ:
- වෙනස් කළ රෙජිස්ට්රි යතුර AppX (IoCs බලන්න)
- mutex කේතන තන්තුව ("def", "abc", "ghi")
- වරාය අංකය
අවසාන වශයෙන්, විශ්ලේෂණය කරන ලද සියලුම නව අනුවාද IoCs කොටසේ නව C&Cs ලැයිස්තුගත කර ඇත.
සොයා ගැනීම්
OceanLotus දිගටම පරිණාමය වෙමින් පවතී. සයිබර් සමූහය අවධානය යොමු කර ඇත්තේ මෙවලම් සහ ආකර්ෂණය පිරිපහදු කිරීම සහ පුළුල් කිරීම කෙරෙහි ය. කතුවරුන් අදහස් කරන වින්දිතයින්ට අදාළ අවධානය ආකර්ෂණය කර ගන්නා ලියකියවිලි සමඟ ද්වේෂසහගත ගෙවීම් ආවරණය කරයි. ඔවුන් නව පරිපථ සංවර්ධනය කරන අතර සමීකරණ සංස්කාරක සූරාකෑම වැනි ප්රසිද්ධියේ ලබා ගත හැකි මෙවලම් ද භාවිතා කරයි. එපමණක් නොව, ඔවුන් වින්දිතයන්ගේ යන්ත්රවල ඉතිරිව ඇති කෞතුක වස්තු සංඛ්යාව අඩු කිරීමට මෙවලම් වැඩි දියුණු කරමින් සිටින අතර එමඟින් ප්රති-වයිරස මෘදුකාංග මඟින් අනාවරණය කර ගැනීමේ අවස්ථාව අඩු කරයි.
සම්මුතියේ දර්ශක
සම්මුතියේ දර්ශක මෙන්ම MITER ATT&CK ගුණාංග ඇත
මූලාශ්රය: www.habr.com