ในโพสต์นี้ เราจะบอกคุณว่ากลุ่มไซเบอร์ OceanLotus (APT32 และ APT-C-00) ใช้ช่องโหว่ที่เปิดเผยต่อสาธารณะเมื่อเร็ว ๆ นี้ได้อย่างไร ช่องโหว่ความเสียหายของหน่วยความจำใน Microsoft Office และวิธีที่มัลแวร์ของกลุ่มสามารถคงอยู่ในระบบที่ถูกบุกรุกโดยไม่ทิ้งร่องรอยไว้ ต่อไป เราจะอธิบายว่าตั้งแต่ต้นปี 2019 กลุ่มได้ใช้ไฟล์เก็บถาวรแบบขยายตัวเองเพื่อรันโค้ดอย่างไร
OceanLotus เชี่ยวชาญด้านการจารกรรมทางไซเบอร์ โดยมีเป้าหมายหลักคือประเทศในเอเชียตะวันออกเฉียงใต้ ผู้โจมตีปลอมแปลงเอกสารที่ดึงดูดความสนใจของผู้ที่อาจตกเป็นเหยื่อเพื่อโน้มน้าวให้พวกเขาดำเนินการลับๆ และกำลังพัฒนาเครื่องมืออีกด้วย วิธีการที่ใช้ในการสร้าง honeypots นั้นแตกต่างกันไปตามการโจมตี ตั้งแต่ไฟล์ "double-extension" ไฟล์เก็บถาวรแบบขยายในตัว เอกสารที่มีมาโคร ไปจนถึงการหาประโยชน์ที่ทราบ
การใช้ช่องโหว่ใน Microsoft Equation Editor
ในช่วงกลางปี 2018 OceanLotus ได้ทำการรณรงค์หาประโยชน์จากช่องโหว่ CVE-2017-11882 หนึ่งในเอกสารที่เป็นอันตรายของกลุ่มไซเบอร์ได้รับการวิเคราะห์โดยผู้เชี่ยวชาญจาก 360 Threat Intelligence Center () รวมถึงคำอธิบายโดยละเอียดของการใช้ประโยชน์ โพสต์ด้านล่างประกอบด้วยภาพรวมของเอกสารที่เป็นอันตรายดังกล่าว
ขั้นตอนแรก
เอกสาร FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) คล้ายกับที่กล่าวไว้ในการศึกษาข้างต้น เป็นเรื่องที่น่าสนใจเพราะมุ่งเป้าไปที่ผู้ใช้ที่สนใจการเมืองกัมพูชา (CNRP - พรรคกู้ชาติกัมพูชา ยุบเมื่อปลายปี 2017) แม้จะมีนามสกุล .doc แต่เอกสารก็อยู่ในรูปแบบ RTF (ดูรูปด้านล่าง) มีโค้ดขยะ และยังมีการบิดเบี้ยวอีกด้วย
รูปที่ 1. "ขยะ" ใน RTF
แม้ว่าจะมีองค์ประกอบที่อ่านไม่ออก Word ก็สามารถเปิดไฟล์ RTF ได้สำเร็จ ดังที่คุณเห็นในรูปที่ 2 มีโครงสร้าง EQNOLEFILEHDR ที่ออฟเซ็ต 0xC00 ตามด้วยส่วนหัว MTEF และรายการ MTEF (รูปที่ 3) สำหรับแบบอักษร
รูปที่ 2. ค่ารายการ FONT
3 รูป
อาจมีน้ำล้นในสนาม พร้อมชื่อเนื่องจากไม่ได้ตรวจสอบขนาดก่อนการคัดลอก ชื่อที่ยาวเกินไปทำให้เกิดช่องโหว่ ดังที่คุณเห็นจากเนื้อหาของไฟล์ RTF (ชดเชย 0xC26 ในรูปที่ 2) บัฟเฟอร์จะถูกเติมด้วยเชลล์โค้ดตามด้วยคำสั่งจำลอง (0x90) และที่อยู่ผู้ส่ง 0x402114. ที่อยู่เป็นองค์ประกอบโต้ตอบใน EQNEDT32.exeบ่งบอกถึงคำแนะนำ RET. ซึ่งทำให้ EIP ชี้ไปที่จุดเริ่มต้นของฟิลด์ พร้อมชื่อมีเชลล์โค้ด
รูปที่ 4 จุดเริ่มต้นของเชลล์โค้ดการหาประโยชน์
ที่อยู่ 0x45BD3C เก็บตัวแปรที่ถูกยกเลิกการอ้างอิงจนกว่าจะถึงตัวชี้ไปยังโครงสร้างที่โหลดในปัจจุบัน MTEFData. เชลล์โค้ดที่เหลืออยู่ที่นี่
วัตถุประสงค์ของเชลล์โค้ดคือเพื่อเรียกใช้งานเชลล์โค้ดส่วนที่สองที่ฝังอยู่ในเอกสารที่เปิดอยู่ เชลล์โค้ดดั้งเดิมจะพยายามค้นหาตัวอธิบายไฟล์ของเอกสารที่เปิดอยู่ก่อนโดยการวนซ้ำตัวอธิบายระบบทั้งหมด (NtQuerySystemInformation ด้วยการโต้แย้ง SystemExtendedHandleInformation) และตรวจสอบว่าตรงกันหรือไม่ PID คำอธิบายและ PID กระบวนการ WinWord และเอกสารถูกเปิดด้วย access mask หรือไม่ - 0x12019F.
เพื่อยืนยันว่าพบหมายเลขอ้างอิงที่ถูกต้อง (และไม่ใช่หมายเลขอ้างอิงของเอกสารที่เปิดอื่น) เนื้อหาของไฟล์จะแสดงโดยใช้ฟังก์ชัน CreateFileMappingและเชลล์โค้ดจะตรวจสอบว่าสี่ไบต์สุดท้ายของเอกสารตรงกันหรือไม่ "yyyy"(วิธีล่าไข่) เมื่อพบรายการที่ตรงกัน เอกสารจะถูกคัดลอกไปยังโฟลเดอร์ชั่วคราว (GetTempPath) ยังไง ole.dll. จากนั้นจะอ่านเอกสาร 12 ไบต์สุดท้าย
รูปที่ 5 จุดสิ้นสุดของเครื่องหมายเอกสาร
ค่าระหว่างเครื่องหมาย 32 บิต AABBCCDD и yyyy คือออฟเซ็ตของเชลล์โค้ดถัดไป มันถูกเรียกว่าการใช้ฟังก์ชัน CreateThread. แยกเชลล์โค้ดเดียวกันกับที่ใช้โดยกลุ่ม OceanLotus ก่อนหน้านี้ ซึ่งเราเปิดตัวในเดือนมีนาคม 2018 ยังคงใช้ได้กับดัมพ์ระยะที่ XNUMX
ขั้นตอนที่สอง
การถอดส่วนประกอบ
ชื่อไฟล์และไดเร็กทอรีจะถูกเลือกแบบไดนามิก รหัสจะสุ่มเลือกชื่อของไฟล์ปฏิบัติการหรือไฟล์ DLL C:Windowssystem32. จากนั้นจะทำการร้องขอไปยังทรัพยากรและดึงข้อมูลฟิลด์ FileDescription เพื่อใช้เป็นชื่อโฟลเดอร์ หากไม่ได้ผล โค้ดจะสุ่มเลือกชื่อโฟลเดอร์จากไดเร็กทอรี %ProgramFiles% หรือ C:Windows (из GetWindowsDirectoryW). Он избегает использования имени, которое может конфликтовать с существующими файлами, и следит за тем, чтобы оно не содержало следующие слова: windows, Microsoft, desktop, system, system32 หรือ syswow64. หากมีไดเร็กทอรีอยู่แล้ว "NLS_{6 ตัวอักษร}" จะถูกต่อท้ายชื่อ
ทรัพยากร 0x102 ได้รับการวิเคราะห์และไฟล์ต่างๆ จะถูกเทลงไป %ProgramFiles% หรือ %AppData%ไปยังโฟลเดอร์ที่เลือกแบบสุ่ม เปลี่ยนเวลาสร้างให้มีค่าเท่ากัน kernel32.dll.
ตัวอย่างเช่น นี่คือโฟลเดอร์และรายการไฟล์ที่สร้างขึ้นโดยการเลือกไฟล์ปฏิบัติการ C:Windowssystem32TCPSVCS.exe เป็นแหล่งข้อมูล
รูปที่ 6. การแยกส่วนประกอบต่างๆ
โครงสร้างทรัพยากร 0x102 ในหยดค่อนข้างซับซ้อน โดยสรุปประกอบด้วย:
— ชื่อไฟล์
— ขนาดไฟล์และเนื้อหา
— รูปแบบการบีบอัด (COMPRESSION_FORMAT_LZNT1ถูกใช้โดยฟังก์ชัน RtlDecompressBuffer)
ไฟล์แรกจะถูกรีเซ็ตเป็น TCPSVCS.exeซึ่งถูกต้องตามกฎหมาย AcroTranscoder.exe (ตาม FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
คุณอาจสังเกตเห็นว่าไฟล์ DLL บางไฟล์มีขนาดใหญ่กว่า 11 MB เนื่องจากบัฟเฟอร์ขนาดใหญ่ที่ต่อเนื่องกันของข้อมูลสุ่มถูกวางไว้ภายในไฟล์ปฏิบัติการ เป็นไปได้ว่านี่เป็นวิธีการหลีกเลี่ยงการตรวจจับโดยผลิตภัณฑ์รักษาความปลอดภัยบางชนิด
มั่นใจในความคงอยู่
ทรัพยากร 0x101 ในหยดจะมีจำนวนเต็ม 32 บิตสองตัวที่ระบุวิธีการคงอยู่ ค่าแรกระบุว่ามัลแวร์จะยังคงมีอยู่โดยไม่มีสิทธิ์ของผู้ดูแลระบบอย่างไร
ตารางที่ 1. กลไกการคงอยู่โดยไม่มีสิทธิ์ของผู้ดูแลระบบ
ค่าของจำนวนเต็มที่สองจะระบุว่ามัลแวร์ควรจะคงอยู่ได้อย่างไรเมื่อทำงานด้วยสิทธิ์ของผู้ดูแลระบบ
ตารางที่ 2. กลไกการคงอยู่พร้อมสิทธิ์ผู้ดูแลระบบ
ชื่อบริการคือชื่อไฟล์ที่ไม่มีนามสกุล ชื่อที่แสดงคือชื่อของโฟลเดอร์ แต่หากมีอยู่แล้ว สตริง “ จะถูกต่อท้ายRevision 1” (จำนวนเพิ่มขึ้นจนกว่าจะพบชื่อที่ไม่ได้ใช้) ผู้ปฏิบัติงานทำให้แน่ใจว่าการคงอยู่ของบริการนั้นแข็งแกร่ง ในกรณีที่เกิดความล้มเหลว ควรเริ่มบริการใหม่อีกครั้งหลังจากผ่านไป 1 วินาที แล้วค่า WOW64 คีย์รีจิสทรีของบริการใหม่ถูกตั้งค่าเป็น 4 ซึ่งบ่งชี้ว่าเป็นบริการแบบ 32 บิต
งานที่กำหนดเวลาไว้จะถูกสร้างขึ้นผ่านอินเทอร์เฟซ COM ต่างๆ: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. โดยพื้นฐานแล้ว มัลแวร์จะสร้างงานที่ซ่อนอยู่ ตั้งค่าข้อมูลบัญชีพร้อมกับข้อมูลผู้ใช้หรือผู้ดูแลระบบปัจจุบัน จากนั้นจึงตั้งค่าทริกเกอร์
นี่เป็นงานรายวันซึ่งมีระยะเวลา 24 ชั่วโมงและมีช่วงเวลาระหว่างการดำเนินการสองครั้ง ครั้งละ 10 นาที ซึ่งหมายความว่างานจะทำงานอย่างต่อเนื่อง
ที่เป็นอันตรายเล็กน้อย
ในตัวอย่างของเรา ไฟล์ปฏิบัติการ TCPSVCS.exe (AcroTranscoder.exe) เป็นซอฟต์แวร์ที่ถูกต้องตามกฎหมายซึ่งโหลด DLL ที่ถูกรีเซ็ตพร้อมกับซอฟต์แวร์ดังกล่าว ในกรณีนี้ก็น่าสนใจ Flash Video Extension.dll.
ฟังก์ชั่นของมัน DLLMain เพียงแค่เรียกใช้ฟังก์ชันอื่น มีภาคแสดงคลุมเครือบางส่วนอยู่:
รูปที่ 7 ภาคแสดงคลุมเครือ
หลังจากการตรวจสอบที่ทำให้เข้าใจผิดเหล่านี้ รหัสจะได้รับส่วน .text ไฟล์ TCPSVCS.exe, เปลี่ยนการป้องกันเป็น PAGE_EXECUTE_READWRITE และเขียนใหม่โดยเพิ่มคำแนะนำจำลอง:
รูปที่ 8 ลำดับของคำแนะนำ
ในตอนท้ายที่อยู่ของฟังก์ชัน FLVCore::Uninitialize(void),ส่งออก Flash Video Extension.dll, เพิ่มคำสั่งแล้ว CALL. ซึ่งหมายความว่าหลังจากโหลด DLL ที่เป็นอันตรายแล้ว เมื่อเรียกใช้รันไทม์ WinMain в TCPSVCS.exeตัวชี้คำสั่งจะชี้ไปที่ NOP ทำให้เกิด FLVCore::Uninitialize(void), ขั้นตอนต่อไป.
ฟังก์ชั่นเพียงสร้าง mutex ที่เริ่มต้นด้วย {181C8480-A975-411C-AB0A-630DB8B0A221}ตามด้วยชื่อผู้ใช้ปัจจุบัน จากนั้นจะอ่านไฟล์ *.db3 ที่ดัมพ์ซึ่งมีโค้ดที่ไม่ขึ้นกับตำแหน่งและใช้งาน CreateThread เพื่อดำเนินการเนื้อหา
เนื้อหาของไฟล์ *.db3 คือโค้ดเชลล์ที่กลุ่ม OceanLotus ใช้โดยทั่วไป เราประสบความสำเร็จในการแตกเพย์โหลดของมันอีกครั้งโดยใช้สคริปต์โปรแกรมจำลองที่เราเผยแพร่ .
สคริปต์จะแยกขั้นตอนสุดท้าย ส่วนประกอบนี้เป็นแบ็คดอร์ ซึ่งเราได้วิเคราะห์ไปแล้ว . GUID สามารถกำหนดสิ่งนี้ได้ {A96B020F-0000-466F-A96D-A91BBF8EAC96} ไฟล์ไบนารี การกำหนดค่ามัลแวร์ยังคงได้รับการเข้ารหัสในทรัพยากร PE มีการกำหนดค่าที่เหมือนกันโดยประมาณ แต่เซิร์ฟเวอร์ C&C แตกต่างจากเซิร์ฟเวอร์ก่อนหน้า:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
ทีมงาน OceanLotus สาธิตเทคนิคต่างๆ ผสมผสานกันอีกครั้งเพื่อหลีกเลี่ยงการตรวจจับ พวกเขากลับมาพร้อมกับแผนภาพกระบวนการติดเชื้อที่ "ละเอียดถี่ถ้วน" ด้วยการเลือกชื่อแบบสุ่มและการเติมไฟล์ปฏิบัติการด้วยข้อมูลแบบสุ่ม จะช่วยลดจำนวน IoC ที่เชื่อถือได้ (ขึ้นอยู่กับแฮชและชื่อไฟล์) ยิ่งไปกว่านั้น ต้องขอบคุณการใช้การโหลด DLL ของบุคคลที่สาม ผู้โจมตีจำเป็นต้องลบไบนารี่ที่ถูกต้องเท่านั้น AcroTranscoder.
ไฟล์เก็บถาวรแบบขยายตัวเอง
หลังจากไฟล์ RTF กลุ่มได้ย้ายไปยังไฟล์เก็บถาวรแบบขยายในตัว (SFX) พร้อมด้วยไอคอนเอกสารทั่วไป เพื่อทำให้ผู้ใช้สับสนมากขึ้น Threatbook เขียนเกี่ยวกับเรื่องนี้ (). เมื่อเปิดใช้งาน ไฟล์ RAR ที่ขยายในตัวจะถูกทิ้ง และ DLL ที่มีนามสกุล .ocx จะถูกดำเนินการ ซึ่งเป็นเพย์โหลดสุดท้ายที่ได้รับการบันทึกไว้ก่อนหน้านี้ {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. ตั้งแต่กลางเดือนมกราคม 2019 OceanLotus ได้นำเทคนิคนี้มาใช้ซ้ำ แต่มีการเปลี่ยนแปลงการกำหนดค่าบางอย่างเมื่อเวลาผ่านไป ในส่วนนี้เราจะพูดถึงเทคนิคและการเปลี่ยนแปลง
การสร้างสิ่งล่อใจ
เอกสาร THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) ถูกค้นพบครั้งแรกในปี 2018 ไฟล์ SFX นี้ถูกสร้างขึ้นอย่างชาญฉลาด - ในคำอธิบาย (ข้อมูลเวอร์ชัน) มันบอกว่านี่คือภาพ JPEG สคริปต์ SFX มีลักษณะดังนี้:
รูปที่ 9 คำสั่ง SFX
มัลแวร์รีเซ็ต {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC) เช่นเดียวกับรูปภาพ 2018 thich thong lac.jpg.
ภาพล่อมีลักษณะดังนี้:
รูปที่ 10 ภาพล่อ
คุณอาจสังเกตเห็นว่าสองบรรทัดแรกในสคริปต์ SFX เรียกไฟล์ OCX สองครั้ง แต่นี่ไม่ใช่ข้อผิดพลาด
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
โฟลว์การควบคุมของไฟล์ OCX นั้นคล้ายคลึงกับส่วนประกอบ OceanLotus อื่น ๆ มาก - มีลำดับคำสั่งมากมาย JZ/JNZ и PUSH/RETสลับกับรหัสขยะ
รูปที่ 11. รหัสที่สับสน
หลังจากกรองโค้ดขยะแล้ว ให้ส่งออก DllRegisterServer, เรียกว่า regsvr32.exeดังนี้
รูปที่ 12 รหัสการติดตั้งพื้นฐาน
โดยพื้นฐานแล้วในการโทรครั้งแรก DllRegisterServer ส่งออกตั้งค่ารีจิสทรี HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model สำหรับออฟเซ็ตที่เข้ารหัสใน DLL (0x10001DE0).
เมื่อฟังก์ชันถูกเรียกเป็นครั้งที่สอง ฟังก์ชันจะอ่านค่าเดียวกันและดำเนินการตามที่อยู่นั้น จากที่นี่ ทรัพยากรและการดำเนินการต่างๆ ใน RAM จะถูกอ่านและดำเนินการ
เชลล์โค้ดเป็นตัวโหลด PE แบบเดียวกับที่ใช้ในแคมเปญ OceanLotus ที่ผ่านมา สามารถจำลองการใช้งานได้ . ในที่สุดเขาก็รีเซ็ต db293b825dcc419ba7dc2c49fa2757ee.dllโหลดลงในหน่วยความจำและดำเนินการ DllEntry.
DLL แยกเนื้อหาของทรัพยากร ถอดรหัส (AES-256-CBC) และขยายขนาด (LZMA) ทรัพยากรมีรูปแบบเฉพาะที่แยกส่วนได้ง่าย
รูปที่ 13 โครงสร้างการกำหนดค่าตัวติดตั้ง (KaitaiStruct Visualizer)
มีการระบุการกำหนดค่าอย่างชัดเจน - ข้อมูลไบนารีจะถูกเขียนลงไป ทั้งนี้ขึ้นอยู่กับระดับสิทธิ์ %appdata%IntellogsBackgroundUploadTask.cpl หรือ %windir%System32BackgroundUploadTask.cpl (หรือ SysWOW64 สำหรับระบบ 64 บิต)
มั่นใจได้ถึงความคงอยู่ต่อไปโดยการสร้างงานโดยใช้ชื่อ BackgroundUploadTask[junk].jobที่ไหน [junk] แสดงถึงชุดของไบต์ 0x9D и 0xA0.
ชื่อแอปพลิเคชันงาน %windir%System32control.exeและค่าพารามิเตอร์คือเส้นทางไปยังไฟล์ไบนารีที่ดาวน์โหลด ภารกิจที่ซ่อนอยู่ทำงานทุกวัน
ตามโครงสร้างไฟล์ CPL จะเป็น DLL ที่มีชื่อภายใน ac8e06de0a6c4483af9837d96504127e.dllซึ่งส่งออกฟังก์ชัน CPlApplet. ไฟล์นี้ถอดรหัสทรัพยากรเดียวเท่านั้น {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dllจากนั้นโหลด DLL นี้และเรียกเฉพาะการส่งออกเท่านั้น DllEntry.
ไฟล์การกำหนดค่าแบ็คดอร์
การกำหนดค่าประตูหลังได้รับการเข้ารหัสและฝังอยู่ในทรัพยากร โครงสร้างของไฟล์กำหนดค่าคล้ายกับไฟล์ก่อนหน้ามาก
รูปที่ 14 โครงสร้างการกำหนดค่าแบ็คดอร์ (KaitaiStruct Visualizer)
แม้ว่าโครงสร้างจะคล้ายกัน แต่ค่าฟิลด์หลายค่าได้รับการอัปเดตจากค่าที่แสดงใน .
องค์ประกอบแรกของอาร์เรย์ไบนารี่มี DLL (HttpProv.dll เอ็มดี5: 2559738D1BD4A999126F900C7357B759), . แต่เนื่องจากชื่อการส่งออกถูกลบออกจากไบนารี แฮชจึงไม่ตรงกัน
การวิจัยเพิ่มเติม
ขณะเก็บตัวอย่าง เราสังเกตเห็นลักษณะบางประการ ตัวอย่างที่เพิ่งอธิบายไปปรากฏขึ้นประมาณเดือนกรกฎาคม 2018 และตัวอย่างอื่นๆ ที่คล้ายกันปรากฏขึ้นเมื่อเร็วๆ นี้ในช่วงกลางเดือนมกราคมถึงต้นเดือนกุมภาพันธ์ 2019 ไฟล์เก็บถาวร SFX ถูกใช้เป็นเวกเตอร์การติดไวรัส โดยปล่อยเอกสารล่อที่ถูกต้องและไฟล์ OSX ที่เป็นอันตราย
แม้ว่า OceanLotus จะใช้การประทับเวลาปลอม แต่เราสังเกตเห็นว่าการประทับเวลาของไฟล์ SFX และ OCX จะเหมือนกันเสมอ (0x57B0C36A (08/14/2016 @ 7:15 น. UTC) และ 0x498BE80F (02/06/2009 @ 7:34am UTC) ตามลำดับ) นี่อาจบ่งชี้ว่าผู้เขียนมี "นักออกแบบ" บางประเภทที่ใช้เทมเพลตเดียวกันและเพียงแค่เปลี่ยนคุณลักษณะบางอย่าง
ในบรรดาเอกสารที่เราศึกษาตั้งแต่ต้นปี 2018 มีชื่อต่างๆ ที่ระบุประเทศที่ผู้โจมตีสนใจ:
— ข้อมูลติดต่อใหม่ของสื่อกัมพูชา (ใหม่) .xls.exe
— 李建香 (个人简历).exe (เอกสาร PDF ปลอมของ CV)
— ข้อเสนอแนะ Rally in USA ตั้งแต่วันที่ 28-29 กรกฎาคม 2018.exe
ตั้งแต่มีการค้นพบประตูหลัง {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll และการเผยแพร่การวิเคราะห์โดยนักวิจัยหลายคน เราสังเกตเห็นการเปลี่ยนแปลงบางอย่างในข้อมูลการกำหนดค่ามัลแวร์
ขั้นแรก ผู้เขียนเริ่มลบชื่อออกจาก DLL ของตัวช่วย (DNSprov.dll และสองเวอร์ชัน HttpProv.dll). จากนั้นผู้ปฏิบัติงานก็หยุดบรรจุ DLL ตัวที่สาม (เวอร์ชันที่สอง HttpProv.dll) เลือกที่จะฝังเพียงรายการเดียว
ประการที่สอง ฟิลด์การกำหนดค่าแบ็คดอร์จำนวนมากมีการเปลี่ยนแปลง ซึ่งมีแนวโน้มที่จะหลบเลี่ยงการตรวจจับเนื่องจากมี IoC จำนวนมากพร้อมใช้งาน ฟิลด์สำคัญที่แก้ไขโดยผู้เขียน ได้แก่ :
- คีย์รีจิสทรี AppX มีการเปลี่ยนแปลง (ดู IoC)
- สตริงการเข้ารหัส mutex ("def", "abc", "ghi")
- หมายเลขพอร์ต
สุดท้าย เวอร์ชันใหม่ทั้งหมดที่วิเคราะห์จะมี C&C ใหม่แสดงอยู่ในส่วน IoC
ผลการวิจัย
OceanLotus ยังคงพัฒนาอย่างต่อเนื่อง กลุ่มไซเบอร์มุ่งเน้นไปที่การปรับแต่งและขยายเครื่องมือและตัวล่อ ผู้เขียนปิดบังเพย์โหลดที่เป็นอันตรายโดยใช้เอกสารที่ดึงดูดความสนใจซึ่งมีหัวข้อที่เกี่ยวข้องกับเหยื่อที่ตั้งใจไว้ พวกเขาพัฒนารูปแบบใหม่และใช้เครื่องมือที่เปิดเผยต่อสาธารณะ เช่น โปรแกรมแก้ไขสมการ นอกจากนี้ พวกเขากำลังปรับปรุงเครื่องมือเพื่อลดจำนวนสิ่งประดิษฐ์ที่เหลืออยู่ในเครื่องของเหยื่อ ซึ่งจะช่วยลดโอกาสในการตรวจพบโดยซอฟต์แวร์ป้องกันไวรัส
ตัวชี้วัดของการประนีประนอม
มีตัวบ่งชี้การประนีประนอมตลอดจนคุณลักษณะ MITER ATT&CK и .
ที่มา: will.com
