Maqaalkan waxaan kuugu sheegi doonaa sida kooxda internetka ee OceanLotus (APT32 iyo APT-C-00) ay dhowaan u adeegsadeen mid ka mid ah faa'iidooyinka si guud loo heli karo , nuglaanta musuqmaasuqa xusuusta ee Microsoft Office, iyo sida malware-ka kooxdu u gaadho ku adkaysiga nidaamyada la jabsaday iyada oo aan raad laga tegin. Marka xigta, waxaan sharxi doonaa sida, ilaa bilowgii 2019, kooxdu ay u adeegsanaysay kaydka is-soo saarista si ay u socodsiiso koodka.
OceanLotus waxay ku takhasustay basaasnimada internetka, iyada oo bartilmaameedyada mudnaanta leh ay yihiin wadamada Koonfur-bari Aasiya. Weeraryahanadu waxay been abuuraan dukumeenti soo jiidata dareenka dhibanayaasha suurtagalka ah si ay ugu qanciyaan inay fuliyaan albaabka dambe, waxayna sidoo kale ka shaqeynayaan horumarinta qalabyada. Hababka loo isticmaalo abuuritaanka malabku way ku kala duwan yihiin weerarrada, laga bilaabo faylalka "laba-kordhinta", kaydka is-soo-saarista, dukumeenti leh macros, ilaa faa'iidooyin la yaqaan.
Isticmaalka ka faa'iidaysiga ee Tifaftiraha isla'egta Microsoft
Bartamihii 2018, OceanLotus waxay samaysay olole ka faa'iidaysanaysa nuglaanta CVE-2017-11882. Mid ka mid ah dukumeentiyada xaasidnimada leh ee kooxda internetka ayaa waxaa falanqeeyay khabiiro ka socda Xarunta Sirdoonka Khatarta 360 (), oo ay ku jirto sharaxaad faahfaahsan oo ku saabsan ka faa'iidaysiga. Boostada hoose waxay ka kooban tahay dulmar dukumeenti xaasidnimo leh.
Heerka koobaad
Dukumintiga FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) waxay la mid tahay tan daraasadda sare lagu sheegay. Waa arrin xiiso leh sababtoo ah waxaa loogu talagalay isticmaalayaasha xiisaynaya siyaasadda Cambodia (CNRP - Cambodia National Rescue Party, oo la kala diro dhammaadka 2017). Inkastoo .doc-ku-kordhinta, dukumeentigu waa qaab RTF ah (fiiri sawirka hoose), waxa ku jira koodka qashinka, sidoo kalena waa la qalloocan.
Jaantuska 1. "Qashinka" ee RTF
Inkasta oo ay jiraan walxo jeexjeexan, Word si guul leh ayuu u furayaa faylka RTF. Sida aad ku arki karto Jaantuska 2, waxa jira qaab-dhismeedka EQNOLEFILEHDR oo ku yaala offset 0xC00, oo ay ku xigto madaxa MTEF, ka dibna gelitaanka MTEF (Jaantuska 3) ee font.
Jaantuska 2. qiyamka gelitaanka FONT
Jaantuska 3.
Qulqulka suurtagalka ah ee garoonka magaca, sababtoo ah cabbirkeeda lama hubin ka hor inta aan la koobiyn. Magaca aad u dheer wuxuu keenaa nuglaanta. Sida aad ka arki karto waxa ku jira faylka RTF (offset 0xC26 ee Jaantuska 2), kaydka waxaa ka buuxa shellcode oo uu raacayo amar dummy ah (0x90) oo ku soo celi ciwaanka 0x402114. Cinwaanku waa qayb wada hadal oo ku jira EQNEDT32.exe, tilmaamaya tilmaamaha RET. Tani waxay sababtaa EIP inay tilmaamto bilawga goobta magacaoo ka kooban koodka qolofka.
Jaantuska 4. Bilawga ka faa'iidaysiga shellcode
Cinwaanka 0x45BD3C kaydiyaa doorsoome la leexiyay ilaa uu ka gaadhayo tilmaame qaabka hadda raran yahay MTEFData. Inta kale ee shellcode waa halkan.
Ujeedada sheelcode waa in la fuliyo qaybta labaad ee shellcode ee ku dhex duugan dukumeentiga furan. Koodhka asalka ah ee shellcode wuxuu marka hore isku dayaa inuu helo sharaxaadaha faylka dukumeentiga furan isagoo ku celcelinaya dhammaan sharraxayaasha nidaamka (NtQuerySystemInformation oo dood leh SystemExtendedHandleInformation) iyo hubinta inay isku mid yihiin PID tilmaame iyo PID habka WinWord iyo haddii dukumeentiga lagu furay maaskaro gelitaanka - 0x12019F.
Si loo xaqiijiyo in gacantii saxda ahayd la helay (oo aan gacanta lagu hayn dukumeenti kale oo furan), waxa ku jira faylka waxaa lagu soo bandhigayaa shaqada CreateFileMapping, oo qolofku wuxuu hubiyaa in afartii bytes ee u dambeeyay ee dukumeentigu ay isku mid yihiin iyo in kale"yyyy"(Qaabka Ugaarsiga). Marka ciyaar la helo, dukumeentiga waxaa lagu koobiyeeyay gal ku meel gaar ah (GetTempPath) Sidee ole.dll. Kadibna 12 bytes ee u dambeeya dukumeentiga waa la akhriyaa.
Jaantuska 5. Dhammaadka calaamadaha dukumeentiga
32-bit qiimaha u dhexeeya calaamadeeyayaasha AABBCCDD и yyyy waa offset ee shellcode soo socda. Waxa loo yaqaan adeegsiga shaqada CreateThread. La soo saaray koodka qolofka ah ee ay isticmaalayeen kooxda OceanLotus mar hore. , oo aan sii deynay Maarso 2018, wali waxay u shaqeysaa qashinka marxaladda labaad.
Marxaladda labaad
Ka saarida qaybaha
Magacyada faylka iyo hagaha ayaa si firfircoon loo doortaa. Koodhka ayaa si aan kala sooc lahayn u dooranaya magaca la fulin karo ama faylka DLL ee gudaha C:Windowssystem32. Kadibna waxay codsi u dirtaa kheyraadkeeda oo ay dib u soo ceshato beerta FileDescription in loo isticmaalo sida magaca gal. Haddii ay taasi shaqayn waydo, koodka ayaa si aan kala sooc lahayn u dooranaya magaca gal-tusaha %ProgramFiles% ama C:Windows (из GetWindowsDirectoryW). Он избегает использования имени, которое может конфликтовать с существующими файлами, и следит за тем, чтобы оно не содержало следующие слова: windows, Microsoft, desktop, system, system32 ama syswow64. Haddii hagahu hore u jiray, "NLS_{6 characters}" waxa lagu lifaaqaa magaca.
khayraadka 0x102 waa la falanqeeyaa oo galalka lagu daadiyaa %ProgramFiles% ama %AppData%, gal gal si aan kala sooc lahayn loo doortay. Bedelay wakhtiga abuurista si uu u yeesho qiyam la mid ah sida kernel32.dll.
Tusaale ahaan, halkan waa galka iyo liiska faylasha la abuuray iyadoo la dooranayo kuwa la fulin karo C:Windowssystem32TCPSVCS.exe xog ahaan.
Jaantus 6. Soo saarista qaybo kala duwan
Qaab dhismeedka kheyraadka 0x102 Dhibcuhu aad buu u adag yahay. Si kooban, waxa ay ka kooban tahay:
- Magacyada faylka
- Cabbirka faylka iyo waxa ku jira
- qaabka cadaadiska (COMPRESSION_FORMAT_LZNT1, oo loo isticmaalo shaqada RtlDecompressBuffer)
Faylka ugu horreeya waxaa dib loo dajiyay sidii TCPSVCS.exe, taas oo sharci ah AcroTranscoder.exe (sida laga soo xigtay FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
Waxaa laga yaabaa inaad dareentay in qaar ka mid ah faylasha DLL ay ka weyn yihiin 11 MB. Tani waa sababta oo ah kayd weyn oo iskuxiran oo xog random ah ayaa la geliyey gudaha faylka la fulin karo. Waxaa suurtogal ah in tani ay tahay hab looga fogaado in la ogaado qaar ka mid ah alaabada amniga.
Xaqiijinta adkaysiga
khayraadka 0x101 Dhibcaha ku jira wuxuu ka kooban yahay laba 32-bit integers oo tilmaamaya sida adkaysiga loo bixiyo. Qiimaha kan ugu horreeya ayaa qeexaya sida malware-ku u sii jiri doono iyada oo aan la helin xuquuqaha maamulaha.
Shaxda 1. Habka joogtada ah ee aan lahayn xuquuqda maamulaha
Qiimaha leydhka labaad waxa uu qeexayaa sida malware-ku uu u gaadhi lahaa adkaysi marka uu la socdo xuquuqda maamulaha.
Shaxda 2. Habka joogtada ah ee xuquuqda maamulka
Magaca adeeggu waa magaca faylka oo aan la kordhin; magaca bandhiga waa magaca faylka, laakiin haddii uu hore u jiray, xadhigga " ayaa ku lifaaqanRevision 1” (tiradu way kordhisaa ilaa magac aan la isticmaalin laga helayo). Hawl-wadeenadu waxay hubiyeen in ku adkaysiga adeeggu uu yahay mid adag - haddii ay dhacdo guuldarro, adeegga waa in dib loo bilaabo 1 ilbiriqsi ka dib. Markaa qiimaha WOW64 Furaha diiwaanka adeegga cusub ayaa loo dejiyay 4, taasoo muujineysa inuu yahay adeeg 32-bit ah.
Hawsha la qorsheeyay waxa lagu abuuraa dhawr is-dhexgal COM: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. Asal ahaan, malware-ku wuxuu abuuraa hawl qarsoon, wuxuu dejiyaa macluumaadka akoontada oo ay la socoto macluumaadka isticmaalaha ama maamulaha hadda, ka dibna dejiyaa kicinta.
Tani waa shaqo maalinle ah oo soconaysa 24 saacadood iyo u dhaxaysa laba dil oo 10 daqiiqo ah, taas oo macnaheedu yahay inay si joogto ah u socoto.
xoogaa xaasidnimo ah
Tusaalahayaga, faylka la fulin karo TCPSVCS.exe (AcroTranscoder.exe) waa software sharci ah oo ku raraya DLL-yada dib loo dajiyay iyada oo la socota. Xaaladdan oo kale, waa mid xiiso leh Flash Video Extension.dll.
Shaqadeeda DLLMain kaliya wac shaqo kale. Qaar ka mid ah saadaalayaasha daahsoon ayaa jira:
Jaantuska 7. Dawakhsan ayaa saadaaliya
Ka dib hubinta marin habaabinta ah, koodka ayaa helaya qayb .text fayl TCPSVCS.exe, waxay u beddeshaa difaaceeda PAGE_EXECUTE_READWRITE oo dib u qoraa isagoo ku daraya tilmaamo aan caadi ahayn:
Jaantuska 8. Tixraaca tilmaamaha
Dhamaadka ciwaanka shaqada FLVCore::Uninitialize(void), la dhoofiyo Flash Video Extension.dll, tilmaamaha ayaa lagu daray CALL. Tani waxay ka dhigan tahay in ka dib markii DLL xaasid ah la raro, marka runtime wac WinMain в TCPSVCS.exe, tilmaamuhu wuxuu tilmaamayaa NOP, taasoo keenaysa FLVCore::Uninitialize(void), marxaladda xigta.
Shaqadu waxay si fudud u abuurtaa mutex ka bilaabma {181C8480-A975-411C-AB0A-630DB8B0A221}oo ay ku xigto magaca isticmaalaha hadda. Kadib waxay akhrinaysaa faylka * .db3 ee la tuuray, kaas oo ka kooban kood ka madaxbannaan booska, iyo isticmaalka CreateThread si loo fuliyo waxa ku jira.
Waxa ku jira faylka * .db3 waa sheyga koodhka ay kooxda OceanLotus caadi ahaan adeegsato. Waxaan mar labaad si guul leh u furnay culayskii ay ku bixisay annagoo adeegsanayna qoraalka emulator-ka ee aan daabacnay .
Qoraalku wuxuu soo saarayaa heerka ugu dambeeya. Qaybtani waa albaab danbe, oo aynu horeba u falanqaynay . Tan waxaa go'aamin kara GUID {A96B020F-0000-466F-A96D-A91BBF8EAC96} faylka binary. Qaabaynta malware-ka ayaa wali ku qarsoon agabka PE Waxay leedahay ku dhawaad isku qaabayn, laakiin adeegayaasha C&C way ka duwan yihiin kuwii hore:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
Kooxda OceanLotus ayaa mar kale muujisa isku-darka farsamooyin kala duwan si looga fogaado in la ogaado. Waxay la soo noqdeen jaantus "la sifeeyey" habka caabuqa. Iyaga oo dooranaya magacyo aan kala sooc lahayn oo buuxinaya kuwa la fulin karo xog random, waxay yareeyaan tirada IoC-yada la isku halayn karo (ku salaysan hashes iyo magacyada faylka). Intaa waxaa dheer, iyada oo ay ugu wacan tahay adeegsiga rarka dhinac saddexaad ee DLL, weerarradu waxay u baahan yihiin oo keliya inay meesha ka saaraan binary-ga sharciga ah. AcroTranscoder.
Kaydka is-saarista
Faylasha RTF ka dib, kooxdu waxay u dhaqaaqday kaydka is-soo saarista (SFX) oo wata calaamado dukumeenti ah si ay u jahawareeraan isticmaaleha. Threatbook ayaa arrintan ka qoray (). Marka la bilaabo, faylasha RAR ee iskood isu soo saaraya waa la tuurayaa DLL-yada wata kordhinta .ocx waa la fuliyay, culayska ugu dambeeya ee horay loo diiwaangeliyay {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. Laga soo bilaabo bartamihii Janaayo 2019, OceanLotus waxay dib u isticmaali jirtay farsamadan, laakiin waxay beddeshay qaabaynta qaarkood waqti ka dib. Qaybtan waxaan kaga hadli doonaa farsamada iyo isbeddelada.
Abuuritaanka duufsan
Dukumintiga THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) ayaa markii ugu horeysay la helay 2018. Faylkan SFX waxa loo abuuray si xikmad leh - sharraxaadda (Macluumaadka Nooca) waxa ay leedahay kani waa sawirka JPEG. Qoraalka SFX wuxuu u eg yahay sidan:
Jaantuska 9. Amarada SFX
Malware-ka ayaa dib u dejinaya {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), iyo sidoo kale sawir 2018 thich thong lac.jpg.
Sawirka khiyaanada ayaa u eg sidan:
Jaantuska 10. Sawirka qurxin
Waxaa laga yaabaa inaad dareentay in labada sadar ee hore ee qoraalka SFX ay laba jeer wacayaan faylka OCX, laakiin tani khalad maaha.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
Socodka kantaroolka ee faylka OCX wuxuu aad ula mid yahay qaybaha kale ee OceanLotus - taxane badan oo amar ah JZ/JNZ и PUSH/RET, ku beddelanaya koodka qashinka.
Jaantuska 11. Koodhka qarsoon
Kadib shaandhaynta koodka junk, dhoofi DllRegisterServer, loo yaqaan regsvr32.exe, sida soo socota:
Jaantuska 12. Koodhka rakibaha aasaasiga ah
Asal ahaan, wicitaanka ugu horreeya DllRegisterServer dhoofinta dejisa qiimaha diiwaanka HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model loogu talagalay sir sir ah ee DLL (0x10001DE0).
Marka shaqada loo yeero mar labaad, waxay akhrinaysaa isla qiimaha waxayna ku fulisaa cinwaankaas. Laga soo bilaabo halkan kheyraadka iyo ficillo badan oo RAM ah ayaa la akhriyaa oo la fuliyaa.
Koodhka qolofku waa rareeyaha PE la mid ah oo loo adeegsaday ololihii hore ee OceanLotus. Waxaa lagu dayan karaa iyadoo la isticmaalayo . Aakhirka wuu dib u dajinayaa db293b825dcc419ba7dc2c49fa2757ee.dll, waxay ku shubtaa xusuusta oo fuliya DllEntry.
DLL waxay soo saartaa waxa ku jira kheyraadkeeda, waxay furfurtaa (AES-256-CBC) oo waxay dejisaa (LZMA). Kheyraadka ayaa leh qaab gaar ah oo ay fududahay in la kala diro.
Jaantuska 13. Qaab dhismeedka qaabaynta rakibaha (KaitaiStruct Visualizer)
Qaabeynta ayaa si cad loo qeexay - iyadoo ku xiran heerka mudnaanta, xogta binary ayaa loo qori doonaa %appdata%IntellogsBackgroundUploadTask.cpl ama %windir%System32BackgroundUploadTask.cpl (ama SysWOW64 loogu talagalay nidaamyada 64-bit).
Ku adkaysiga dheeraadka ah ayaa la hubiyaa iyadoo la abuurayo hawl magaca leh BackgroundUploadTask[junk].jobhalkaas oo [junk] waxay ka dhigan tahay baytyo 0x9D и 0xA0.
Magaca Codsiga Hawsha %windir%System32control.exe, iyo qiimaha halbeeggu waa dariiqa loo maro faylka binary-ga ee la soo dejiyay. Hawsha qarsoon ayaa socota maalin kasta.
Dhisme ahaan, faylka CPL waa DLL oo leh magac gudaha ah ac8e06de0a6c4483af9837d96504127e.dll, kaas oo dhoofiya hawl CPlApplet. Faylkan waxa uu furfurayaa agabkiisa kaliya {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, dabadeed shubo DLL kan oo wac dhoofintiisa kaliya DllEntry.
Faylka qaabeynta dhabarka
Qaabeynta albaabka dambe waa la sireeyay oo lagu dhex daray kheyraadkeeda. Qaab dhismeedka faylka qaabeynta ayaa aad ugu eg kii hore.
Jaantus 14. Qaab dhismeedka qaabeynta dhabarka (KaitaiStruct Visualizer)
Inkasta oo qaab-dhismeedku la mid yahay, qaar badan oo ka mid ah qiyamka goobta ayaa laga cusboonaysiiyay kuwa lagu muujiyay .
Cutubka koowaad ee qaabka binary waxa uu ka kooban yahay DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), . Laakiin maadaama magaca dhoofinta laga saaray binary-ga, xashiishyadu isma dhigmaan.
Cilmi-baaris Dheeraad ah
Intii aanu ururinaynay muunado, waxaanu ogaanay sifooyin. Muunadda hadda la sharraxay waxay soo baxday qiyaastii Luulyo 2018, iyo kuwa la mid ah waxay soo muuqatay dhowaan bartamihii Janaayo ilaa horraantii Febraayo 2019. Kaydka SFX waxa loo isticmaalay sidii faleebo caabuq ah, tuurista dukumeenti khiyaano sharci ah iyo faylka OSX xaasidnimo ah.
In kasta oo OceanLotus ay isticmaasho shaambada waqtiyada been abuurka ah, waxaan ogaanay in shaambada waqtiyada SFX iyo OCX ay had iyo jeer isku mid yihiin0x57B0C36A (08/14/2016 @ 7:15pm UTC) iyo 0x498BE80F (02/06/2009 @ 7:34am UTC) siday u kala horreeyaan). Tani waxay u badan tahay inay muujinayso in qorayaashu ay leeyihiin nooc ka mid ah "naqshadeeye" oo isticmaala isla jaantusyada oo si fudud u beddela sifooyinka qaarkood.
Waxaa ka mid ah dukumeentiyada aan barannay tan iyo bilowgii 2018, waxaa jira magacyo kala duwan oo muujinaya wadamada ay xiiseynayaan kuwa weerarka soo qaaday:
- Macluumaadka Xiriirka Cusub ee Warbaahinta Cambodia(Cusub).xls.exe
- 李建香 (个人简历)).exe (cadf pdf ah oo been abuur ah)
- jawaab celin, Dibadbax ka dhacay Mareykanka laga bilaabo Luulyo 28-29, 2018.exe
Tan iyo markii albaabka danbe la ogaaday {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll iyo daabacaadda falanqaynteeda dhowr cilmi-baarayaal, waxaan ku aragnay isbeddelada qaar ee xogta qaabeynta malware.
Marka hore, qorayaashu waxay bilaabeen inay magacyo ka saaraan caawiyayaasha DLLs (DNSprov.dll iyo laba nooc HttpProv.dll). Hawlwadeenada ayaa markaa joojiyay baakaynta DLL saddexaad (nooca labaad HttpProv.dll), dooranaya in ay hal kaliya ku dhejiyaan.
Midda labaad, goobo badan oo qaabeynta albaabka dambe ayaa la beddelay, lagana yaabo inay ka baxsadaan ogaanshaha maadaama IoC-yo badan ay heleen. Qaybaha muhiimka ah ee ay wax ka beddeleen qorayaashu waxaa ka mid ah:
- Furaha diiwaanka AppX waa la bedelay (eeg IoCs)
- xadhkaha codaynta mutex ("def", "abc", "ghi")
- lambarka dekedda
Ugu dambeyntii, dhammaan noocyada cusub ee la falanqeeyay waxay leeyihiin C&C cusub oo ku taxan qaybta IoCs.
natiijooyinka
OceanLotus way sii socotaa inay horumarto. Kooxda interneedku waxa ay diirada saaraysaa sifaynta iyo balaadhinta agabka iyo dhagarqabayaasha. Qorayaashu waxay qariyaan culeyska xaasidnimada leh iyagoo isticmaalaya dukumentiyada soo jiidashada leh ee mawduucasu khuseeya dhibanayaasha loogu talagalay. Waxay horumariyaan qorshayaal cusub waxayna sidoo kale adeegsadaan aaladaha si guud loo heli karo, sida ka faa'iidaysiga Equation Editor. Waxaa intaa dheer, waxay hagaajinayaan agabka si loo dhimo tirada agabka ku haray mishiinnada dhibbanayaasha, taasoo hoos u dhigaysa fursadda lagu ogaan karo software-ka ka hortagga.
Tilmaamayaasha tanaasulka
Tilmaamayaasha tanaasulka iyo sidoo kale MITER ATT&CK sifooyinka ayaa diyaar ah и .
Source: www.habr.com
