🥇ESET: Nya bakdörrsleveranssystem för OceanLotus

I det här inlägget kommer vi att diskutera hur cybergruppen OceanLotus (APT32 och APT-C-00) nyligen använde ett av de offentligt tillgängliga angreppen för att CVE-2017-11882, sårbarheter i minneskorruption i Microsoft Office, och hur gruppens skadliga programvara uppnår persistens på komprometterade system utan att lämna spår. Härnäst kommer vi att beskriva hur gruppen, sedan början av 2019, har använt självuppackande arkiv för att köra kod.

OceanLotus specialiserar sig på cyberspionage, med prioriterade mål i länder i Sydostasien. Angriparna förfalskar dokument för att fånga potentiella offers uppmärksamhet i syfte att övertyga dem att utföra bakdörren, och arbetar även med att utveckla verktygslådan. Metoderna som används för att skapa lockbete varierar mellan attacker, från filer med "dubbla tillägg", självuppackande arkiv, makroaktiverade dokument till kända exploateringar.

Använda en exploit i Microsoft Equation Editor

I mitten av 2018 genomförde OceanLotus en kampanj med hjälp av sårbarheten CVE-2017-11882. Ett av cybergruppens skadliga dokument analyserades av specialister från 360 Threat Intelligence Center (forskning på kinesiska), inklusive en detaljerad beskrivning av exploiten. Inlägget nedan ger en översikt över ett sådant skadligt dokument.

Det första steget

Dokumentet FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) liknar den som nämns i studien ovan. Det är intressant eftersom det riktar sig till användare som är intresserade av kambodjansk politik (CNRP – Cambodia National Rescue Party, upplöst i slutet av 2017). Trots filändelsen .doc är dokumentet i RTF-format (se bilden nedan), innehåller skräpkod och är dessutom skadat.

Figur 1. "Skräp" i RTF

Trots förekomsten av skadade element öppnar Word RTF-filen. Som du kan se i figur 2 finns det en EQNOLEFILEHDR-struktur vid offset 0xC00, följt av en MTEF-rubrik och sedan en MTEF-post (figur 3) för teckensnittet.

Figur 2. FONT-postvärden

Figur 3. FONT-inspelningsformat

Det kan finnas ett överflöde i fältet namn, eftersom dess storlek inte kontrolleras före kopiering. Ett för långt namn utlöser en sårbarhet. Som framgår av innehållet i RTF-filen (offset 0xC26 i figur 2) är bufferten fylld med shellcode följt av ett dummy-kommando (0x90) och returadress 0x402114. Adressen är ett dialogelement i EQNEDT32.exe, pekar på instruktionen RET. Detta gör att EIP pekar på början av fältet. namn, som innehåller skalkod.

Figur 4. Start av exploit-shellkod

adress 0x45BD3C lagrar en variabel som avreferenseras tills den når en pekare till den aktuellt laddade strukturen MTEFData. Resten av skalkoden finns här.

Syftet med skalkoden är att exekvera det andra fragmentet av skalkoden som är inbäddad i det öppna dokumentet. Först försöker den ursprungliga skalkoden hitta filbeskrivningen för det öppna dokumentet genom att iterera igenom alla systembeskrivningar (NtQuerySystemInformation med ett argument SystemExtendedHandleInformation) och kontrollerar om de matchar PID deskriptor och PID bearbeta WinWord och om dokumentet öppnades med en åtkomstmask – 0x12019F.

För att bekräfta att rätt referens har hittats (och inte referensen till ett annat öppet dokument) visas filinnehållet med hjälp av funktionen CreateFileMapping, och skalkoden kontrollerar om de fyra sista bytena i dokumentet matchar "yyyy" (Äggjaktsmetod). När en matchning hittas kopieras dokumentet till en tillfällig mapp (GetTempPath) Hur ole.dll. Sedan läses de sista 12 byten av dokumentet.

Figur 5. Markörer för dokumentslut

32-bitarsvärde mellan markörer AABBCCDD и yyyy – detta är offseten för nästa skalkod. Det kallas med hjälp av funktionen CreateThread. Samma skalkod som tidigare användes av OceanLotus-gruppen extraherades. Python-emuleringsskript, som vi släppte i mars 2018, fungerar fortfarande för andra stegets dumpning.

Det andra steget

Extrahera komponenter

Fil- och katalognamn väljs dynamiskt. Koden väljer slumpmässigt namnet på en körbar fil eller DLL-fil i C:Windowssystem32. Den gör sedan en begäran till sina resurser och hämtar fältet FileDescription att använda som mappnamn. Om detta inte fungerar väljer koden slumpmässigt ett mappnamn från katalogerna. %ProgramFiles% eller C:Windows (från GetWindowsDirectoryW). Den undviker att använda ett namn som kan komma i konflikt med befintliga filer och säkerställer att det inte innehåller följande ord: windows, Microsoft, desktop, system, system32 eller syswow64. Om katalogen redan finns läggs "NLS_{6 tecken}" till namnet.

resurs 0x102 analyseras och filer dumpas till %ProgramFiles% eller %AppData%, till en slumpmässigt vald mapp. Skapandetiden ändrades för att ha samma värden som kernel32.dll.

Till exempel, här är en mapp och en lista över filer som skapats genom att välja den körbara filen C:Windowssystem32TCPSVCS.exe som en datakälla.

Figur 6. Extraktion av olika komponenter

Resursstruktur 0x102 i droppern är ganska komplicerat. I ett nötskal innehåller den:
— Filnamn
— Filstorlek och innehåll
— Komprimeringsformat (COMPRESSION_FORMAT_LZNT1, som används av funktionen RtlDecompressBuffer)

Den första filen dumpas som TCPSVCS.exe, vilket är legitimt AcroTranscoder.exe (enligt FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).

Du kanske har märkt att vissa DLL-filer är större än 11 MB. Detta beror på att en stor sammanhängande buffert av slumpmässig data placeras inuti den körbara filen. Det är möjligt att detta är ett sätt att undvika upptäckt av vissa säkerhetsprodukter.

Säkerställa uthållighet

resurs 0x101 Droppern innehåller två 32-bitars heltal som anger hur persistens ska tillhandahållas. Det första värdet anger hur skadlig kod kommer att bibehålla sin beständighet utan administratörsrättigheter.

Tabell 1. Persistensmekanism utan administratörsrättigheter

Värdet på det andra heltalet anger hur skadlig kod ska säkerställa beständighet när den körs med administratörsbehörighet.

Tabell 2. Persistensmekanism med administratörsrättigheter

Tjänstnamnet är filnamnet utan tillägget; visningsnamn är mappnamnet, men om det redan finns läggs strängen " till detRevision 1” (numret ökas tills ett oanvänt namn hittas). Operatörerna har säkerställt att persistensen genom tjänsten är robust – om tjänsten misslyckas bör den startas om efter 1 sekund. Sedan värdet WOW64 Den nya registernyckeln för tjänsten är inställd på 4, vilket indikerar att det är en 32-bitars tjänst.

En schemalagd uppgift skapas via flera COM-gränssnitt: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. I grund och botten skapar skadlig programvara en dold uppgift, ställer in kontoinformationen tillsammans med den aktuella användar- eller administratörsinformationen och ställer sedan in utlösaren.

Detta är en daglig uppgift med en varaktighet på 24 timmar och intervall mellan två körningar på 10 minuter, vilket innebär att den kommer att köras kontinuerligt.

Skadlig bit

I vårt exempel, den körbara filen TCPSVCS.exe (AcroTranscoder.exe) är legitim programvara som laddar DLL-filer som släpps tillsammans med den. I det här fallet är det som är av intresse Flash Video Extension.dll.

Dess funktion DLLMain anropar bara en annan funktion. Det finns några fuzzy predikat:

Figur 7. Fuzzy-predikat

Efter dessa vilseledande kontroller får koden ett avsnitt .text fil TCPSVCS.exe, ändrar sitt försvar till PAGE_EXECUTE_READWRITE och skriver över den genom att lägga till dummy-instruktioner:

Figur 8. Instruktionssekvens

I slutet av funktionsadressen FLVCore::Uninitialize(void), exporterad Flash Video Extension.dll, instruktioner har lagts till CALL. Det här betyder att efter att en skadlig DLL har laddats, när körtidsanropen inträffar WinMain в TCPSVCS.exe, kommer instruktionspekaren att peka på en NOP, vilket resulterar i en FLVCore::Uninitialize(void), nästa steg.

Funktionen skapar helt enkelt en mutex som börjar med {181C8480-A975-411C-AB0A-630DB8B0A221}, följt av det nuvarande användarnamnet. Den läser sedan den dumpade *.db3-filen, som innehåller positionsoberoende kod, och använder CreateThread att genomföra innehållet.

Innehållet i *.db3-filen är shellcode, vilket vanligtvis används av OceanLotus-gruppen. Vi har lyckats packa upp dess nyttolast igen med hjälp av emulatorskriptet vi publicerade. på GitHub.

Skriptet extraherar det sista steget. Denna komponent är en bakdörr som vi redan har analyserat i tidigare OceanLotus-studie. Detta kan avgöras av GUID:t. {A96B020F-0000-466F-A96D-A91BBF8EAC96} binär fil. Konfigurationen av skadlig kod är fortfarande krypterad i PE-resursen. Den har ungefär samma konfiguration, men C&C-servrarna skiljer sig från de tidigare:

- andreagahuvrauvin[.]com - byronorenstein[.]com - stienollmache[.]xyz

OceanLotus-gruppen visar återigen en kombination av olika tekniker för att undvika upptäckt. De återvände med ett "reviderat" diagram över infektionsprocessen. Genom att välja slumpmässiga namn och fylla körbara filer med slumpmässig data minskar de antalet pålitliga IoC:er (baserat på hashkoder och filnamn). Dessutom, genom att använda DLL-inläsning från tredje part behöver angripare bara radera den legitima binärfilen. AcroTranscoder.

Självutpackande arkiv

Efter RTF-filer gick gruppen över till självuppackande (SFX) arkiv med vanliga dokumentikoner för att ytterligare förvirra användaren. Threatbook skrev om detta (länk på kinesiska). När den väl startats släpper den självuppackande RAR-filer och kör DLL-filer med .ocx-tillägget, vars slutliga nyttolast tidigare dokumenterats. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. Sedan mitten av januari 2019 har OceanLotus återanvänt den här tekniken, men ändrat vissa konfigurationer över tid. I det här avsnittet kommer vi att prata om tekniken och förändringar.

Att skapa ett bete

Dokumentet THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) upptäcktes först 2018. Denna SFX-fil skapas med intelligens – i beskrivningen (Information om versionen) det står att det här är en JPEG-bild. SFX-skriptet ser ut så här:

Figur 9. SFX-kommandon

Återställer skadlig programvara {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), samt en bild 2018 thich thong lac.jpg.

Bilden på lockbeteet ser ut så här:

Figur 10. Bild av lockbetsdjur

Du kanske har märkt att de två första raderna i SFX-skriptet anropar OCX-filen två gånger, men det är inte en bugg.

{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)

Kontrollflödet för en OCX-fil är mycket likt andra OceanLotus-komponenter - många kommandosekvenser JZ/JNZ и PUSH/RET, alternerande med skräppostkod.

Figur 11. Obfuskerad kod

Efter att ha filtrerat bort skräpkod, exportera DllRegisterServer, kallad regsvr32.exe, som följer:

Figur 12. Huvudinstallatörskod

I princip, vid första samtalet DllRegisterServer export sets registervärde HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model för krypterad offset i DLL (0x10001DE0).

När funktionen anropas en andra gång läser den samma värde och körs på den adressen. Härifrån läses och exekveras resursen och många åtgärder utförs i RAM-minnet.

Shellcode är samma PE-laddare som användes i tidigare OceanLotus-kampanjer. Den kan emuleras med hjälp av vårt manus. Till slut tappar han den db293b825dcc419ba7dc2c49fa2757ee.dll, laddar den i minnet och kör den DllEntry.

DLL-filen extraherar innehållet i sin resurs, dekrypterar (AES-256-CBC) och packar upp (LZMA) den. Resursen har ett specifikt format som enkelt kan dekompileras.

Figur 13. Installationsprogrammets konfigurationsstruktur (KaitaiStruct Visualizer)

Konfigurationen ställs in explicit - beroende på behörighetsnivån kommer binär data att skrivas till %appdata%IntellogsBackgroundUploadTask.cpl eller %windir%System32BackgroundUploadTask.cpl (eller SysWOW64 för 64-bitarssystem).

Därefter säkerställs persistens genom att skapa en uppgift med namnet BackgroundUploadTask[junk].jobvar [junk] är en uppsättning byte 0x9D и 0xA0.

Namn på uppgiftsapplikation %windir%System32control.exe, och parametervärdet är sökvägen till den nedladdade binärfilen. Den dolda uppgiften körs varje dag.

Strukturellt sett är en CPL-fil en DLL med ett internt namn ac8e06de0a6c4483af9837d96504127e.dll, vilket exporterar funktionen CPlApplet. Den här filen dekrypterar dess enda resurs {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, laddar sedan den DLL-filen och anropar dess enda exportfil DllEntry.

Bakdörrskonfigurationsfil

Bakdörrskonfigurationen är krypterad och inbäddad i dess resurser. Konfigurationsfilens struktur är mycket lik den föregående.

Figur 14. Konfigurationsstruktur för bakdörr (KaitaiStruct Visualizer)

Trots den liknande strukturen har värdena för många fält uppdaterats jämfört med de uppgifter som anges i vår gamla rapport.

Det första elementet i den binära arrayen innehåller DLL-filen (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), identifierad av Tencent. Men eftersom exportnamnet togs bort från binärfilen matchar inte hasherna.

Ytterligare forskning

När vi samlade in prover lade vi märke till vissa egenskaper. Det exemplar som just beskrivits dök upp runt juli 2018, och andra liknande dök upp mer nyligen, i mitten av januari till början av februari 2019. Infektionsvektorn som användes var ett SFX-arkiv som släppte ett legitimt lockbetedokument och en skadlig OCX-fil.

Även om OceanLotus använder falska tidsstämplar, märkte vi att tidsstämplarna för SFX- och OCX-filer alltid är desamma (0x57B0C36A (08-14-2016 @ 7:15 UTC) och 0x498BE80F (02/06/2009 @ 7:34 UTC) respektive). Detta tyder förmodligen på att författarna har någon sorts "konstruktor" som använder samma mallar och helt enkelt ändrar vissa egenskaper.

Bland de dokument vi har granskat sedan början av 2018 finns olika namn som anger de länder som är av intresse för angriparna:

— Den nya kontaktinformationen för Cambodia Media (ny).xls.exe
— 李建香 (个人简历).exe (falsk pdf-dokument av ett CV)
— feedback, Rally i USA från 28-29 juli 2018.exe

Sedan bakdörren upptäcktes {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll och publiceringen av dess analys av flera forskare, observerade vi vissa förändringar i konfigurationsdata för skadlig kod.

Först började författarna ta bort namn från hjälp-DLL:er (DNSprov.dll och två versioner HttpProv.dll). Sedan slutade operatörerna paketera den tredje DLL-filen (den andra versionen) HttpProv.dll), genom att välja att bara bädda in en.

För det andra modifierades många av bakdörrens konfigurationsfält, troligen för att undvika upptäckt eftersom många IoC:er blev tillgängliga. Några av de viktiga områden som författarna ändrat inkluderar:

AppX-registernyckeln har ändrats (se IoC:er)
mutex-kodningssträng ('def', 'abc', 'ghi')
portnummer

Slutligen introducerade alla nya versioner som analyserades nya C&C:er som listas i avsnittet IoC:er.

Resultat

OceanLotus fortsätter att utvecklas. Cybergruppen fokuserar på att förfina och utöka sina verktyg och lockbeten. Författarna döljer skadliga nyttolaster med hjälp av iögonfallande dokument som är relevanta för de avsedda offren. De utvecklar nya scheman och använder även allmänt tillgängliga verktyg, som till exempel Equation Editor-exploiten. Dessutom förbättrar de verktygen för att minska mängden artefakter som finns kvar på offrens maskiner, vilket minskar risken för upptäckt av antivirusprogram.