Ninu ifiweranṣẹ yii a yoo sọ fun ọ bii ẹgbẹ cyber OceanLotus (APT32 ati APT-C-00) ṣe lo ọkan ninu awọn ilokulo ti o wa ni gbangba fun , awọn ailagbara ibajẹ iranti ni Microsoft Office, ati bii malware ti ẹgbẹ ṣe ṣe aṣeyọri itẹramọṣẹ lori awọn eto ti o gbogun lai fi itọpa kan silẹ. Nigbamii ti, a yoo ṣe apejuwe bi, lati ibẹrẹ ọdun 2019, ẹgbẹ naa ti nlo awọn iwe-ipamọ ti ara ẹni lati mu koodu ṣiṣẹ.
OceanLotus ṣe amọja ni amí cyber, pẹlu awọn ibi-afẹde pataki ni awọn orilẹ-ede ni Guusu ila oorun Asia. Awọn ikọlu ṣe awọn iwe aṣẹ ti o fa akiyesi awọn olufaragba ti o pọju lati parowa fun wọn lati ṣiṣẹ ni ẹhin, ati pe wọn tun n ṣiṣẹ lori awọn irinṣẹ idagbasoke. Awọn ọna ti a lo lati ṣẹda awọn ikoko oyin yatọ kọja awọn ikọlu, lati awọn faili “itẹsiwaju-meji”, awọn ile-ipamọ ti ara ẹni, awọn iwe aṣẹ pẹlu awọn macros, si awọn ilokulo ti a mọ.
Lilo ohun nilokulo ni Microsoft Equation Olootu
Ni aarin-2018, OceanLotus ṣe ipolongo kan ti o nlo ailagbara CVE-2017-11882. Ọkan ninu awọn iwe irira ti ẹgbẹ cyber ni a ṣe atupale nipasẹ awọn alamọja lati Ile-iṣẹ Imọye Irokeke 360 (), pẹlu kan alaye apejuwe ti awọn nilokulo. Ifiweranṣẹ ti o wa ni isalẹ ni akopọ ti iru iwe irira kan.
Akọkọ ipele
Iwe-ipamọ FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) jẹ iru si eyi ti a mẹnuba ninu iwadi loke. O jẹ ohun ti o dun nitori pe o ṣe ifọkansi si awọn olumulo ti o nifẹ si iṣelu Cambodia (CNRP - Cambodia National Rescue Party, tituka ni opin ọdun 2017). Pelu itẹsiwaju .doc, iwe naa wa ni ọna kika RTF (wo aworan ni isalẹ), ni koodu idoti, ati pe o tun daru.
olusin 1. "Idọti" ni RTF
Bi o tilẹ jẹ pe awọn eroja ti o ni ẹṣọ wa, Ọrọ ṣi faili RTF yii ni aṣeyọri. Gẹgẹbi o ti le rii ni Nọmba 2, eto EQNOLEFILEHDR kan wa ni aiṣedeede 0xC00, atẹle nipa akọsori MTEF kan, ati lẹhinna titẹsi MTEF kan (olusin 3) fun fonti naa.
olusin 2. FONT titẹsi iye
Olusin 3.
O ṣee ṣe àkúnwọsílẹ ni awọn aaye orukọ, nitori iwọn rẹ ko ṣayẹwo ṣaaju didakọ. Orukọ ti o gun ju nfa ailagbara kan. Gẹgẹbi o ti le rii lati inu awọn akoonu ti faili RTF (aiṣedeede 0xC26 ni Nọmba 2), ifipamọ naa kun pẹlu koodu ikarahun ti o tẹle pẹlu pipaṣẹ apanirun kan (0x90) ati adirẹsi pada 0x402114. Adirẹsi naa jẹ ẹya ifọrọwerọ ninu EQNEDT32.exe, afihan ilana RET. Eyi fa EIP lati tọka si ibẹrẹ aaye naa orukọti o ni awọn shellcode.
olusin 4. Ibẹrẹ ti lo nilokulo shellcode
Adirẹsi 0x45BD3C tọju oniyipada kan ti a kọ silẹ titi ti o fi de itọka kan si eto ti kojọpọ lọwọlọwọ MTEFData. Awọn iyokù ti shellcode wa nibi.
Idi ti koodu shell ni lati ṣiṣẹ nkan keji ti shellcode ti a fi sii ninu iwe ṣiṣi. Shellcode atilẹba akọkọ gbiyanju lati wa oluṣapejuwe faili ti iwe-iṣiro nipa ṣiṣe atunwi lori gbogbo awọn olupejuwe eto (NtQuerySystemInformation pẹlu ariyanjiyan SystemExtendedHandleInformation) ati ṣayẹwo ti wọn ba baamu PID apejuwe ati PID ilana WinWord ati boya a ṣii iwe-ipamọ pẹlu iboju iwọle - 0x12019F.
Lati jẹrisi pe a ti rii imudani to tọ (kii ṣe mimu si iwe ṣiṣi miiran), awọn akoonu ti faili naa han ni lilo iṣẹ naa. CreateFileMapping, ati shellcode ṣayẹwo boya awọn baiti mẹrin ti o kẹhin ti iwe-ipamọ ibaamu "yyyy"(Ọna Ọdẹ Ẹyin). Ni kete ti a ba rii ibaamu kan, a daakọ iwe naa si folda igba diẹ (GetTempPath) Bawo ole.dll. Lẹhinna awọn baiti 12 ti o kẹhin ti iwe naa ni a ka.
olusin 5. Ipari ti Awọn asami Iwe
32-bit iye laarin awọn asami AABBCCDD и yyyy ni aiṣedeede ti nigbamii ti shellcode. O pe ni lilo iṣẹ naa CreateThread. Ti yọkuro shellcode kanna ti ẹgbẹ OceanLotus ti lo tẹlẹ. , eyiti a tu silẹ ni Oṣu Kẹta ọdun 2018, tun ṣiṣẹ fun idalẹnu ipele keji.
Ipele keji
Yiyọ irinše
Faili ati awọn orukọ liana ni a yan ni agbara. Awọn koodu laileto yan awọn orukọ ti awọn executable tabi DLL faili ni C:Windowssystem32. Lẹhinna o beere ibeere si awọn orisun rẹ ati gba aaye naa pada FileDescription lati lo bi orukọ folda. Ti eyi ko ba ṣiṣẹ, koodu naa laileto yan orukọ folda lati awọn ilana %ProgramFiles% tabi C:Windows (из GetWindowsDirectoryW). Он избегает использования имени, которое может конфликтовать с существующими файлами, и следит за тем, чтобы оно не содержало следующие слова: windows, Microsoft, desktop, system, system32 tabi syswow64. Ti itọsọna naa ba ti wa tẹlẹ, "NLS_{6 characters}" ti wa ni afikun si orukọ naa.
awọn oluşewadi 0x102 ti wa ni atupale ati awọn faili ti wa ni nda sinu %ProgramFiles% tabi %AppData%, si folda ti a yan laileto. Yi akoko ẹda pada lati ni awọn iye kanna bi kernel32.dll.
Fun apẹẹrẹ, eyi ni folda ati atokọ ti awọn faili ti a ṣẹda nipasẹ yiyan ti o ṣiṣẹ C:Windowssystem32TCPSVCS.exe bi orisun data.
olusin 6. Yiyo orisirisi irinše
Ilana orisun 0x102 ni a dropper jẹ ohun eka. Ni kukuru, o ni:
- Awọn orukọ faili
- Iwọn faili ati akoonu
- ọna kika funmorawon (COMPRESSION_FORMAT_LZNT1, ti a lo nipasẹ iṣẹ naa RtlDecompressBuffer)
Faili akọkọ ti tunto bi TCPSVCS.exe, eyi ti o jẹ ẹtọ AcroTranscoder.exe (gẹgẹ bi FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
O le ti ṣe akiyesi pe diẹ ninu awọn faili DLL tobi ju 11 MB lọ. Eyi jẹ nitori ifipamọ contiguous nla ti data ID ti wa ni gbe inu faili ti o le ṣiṣẹ. O ṣee ṣe pe eyi jẹ ọna lati yago fun wiwa nipasẹ diẹ ninu awọn ọja aabo.
Idaniloju itẹramọṣẹ
awọn oluşewadi 0x101 ninu awọn dropper ni meji 32-bit odidi ti o pato bi itẹramọṣẹ yẹ ki o wa pese. Iye ti akọkọ pato bi malware yoo ṣe duro laisi awọn ẹtọ alakoso.
Table 1. Persistence siseto lai administrator ẹtọ
Iye odidi keji n ṣalaye bi malware ṣe yẹ ki o ṣe aṣeyọri itẹramọṣẹ nigbati o nṣiṣẹ pẹlu awọn ẹtọ oludari.
Table 2. Ilana itẹramọṣẹ pẹlu awọn ẹtọ alakoso
Orukọ iṣẹ naa jẹ orukọ faili laisi itẹsiwaju; orukọ ifihan ni orukọ folda, ṣugbọn ti o ba wa tẹlẹ, okun “ ti wa ni afikun si rẹRevision 1” (nọmba naa n pọ si titi ti a fi rii orukọ ti ko lo). Awọn oniṣẹ rii daju pe itẹramọṣẹ nipasẹ iṣẹ naa logan - ni ọran ikuna, iṣẹ naa yẹ ki o tun bẹrẹ lẹhin iṣẹju 1. Lẹhinna iye WOW64 Bọtini iforukọsilẹ ti iṣẹ tuntun ti ṣeto si 4, nfihan pe o jẹ iṣẹ 32-bit.
Iṣẹ-ṣiṣe ti a ṣeto ni a ṣẹda nipasẹ ọpọlọpọ awọn atọkun COM: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. Ni pataki, malware ṣẹda iṣẹ-ṣiṣe ti o farapamọ, ṣeto alaye akọọlẹ pẹlu olumulo lọwọlọwọ tabi alaye oludari, ati lẹhinna ṣeto okunfa naa.
Eyi jẹ iṣẹ-ṣiṣe lojoojumọ pẹlu iye akoko awọn wakati 24 ati awọn aaye arin laarin awọn ipaniyan meji ti awọn iṣẹju mẹwa 10, eyiti o tumọ si pe yoo ṣiṣẹ nigbagbogbo.
bit irira
Ninu apẹẹrẹ wa, faili ti o ṣiṣẹ TCPSVCS.exe (AcroTranscoder.exe) jẹ sọfitiwia ti o tọ ti o gbe awọn DLL ti a tunto pẹlu rẹ. Ni idi eyi, o jẹ anfani Flash Video Extension.dll.
Awọn oniwe-iṣẹ DLLMain o kan pe iṣẹ miiran. Diẹ ninu awọn asọtẹlẹ iruju wa:
olusin 7. Fuzzy predicates
Lẹhin awọn sọwedowo aṣiwere wọnyi, koodu naa gba apakan kan .text faili TCPSVCS.exe, iyipada awọn oniwe-olugbeja si PAGE_EXECUTE_READWRITE ati tun kọwe rẹ nipa fifi awọn ilana apanirun kun:
olusin 8. Ọkọọkan awọn ilana
Ni opin si adirẹsi iṣẹ FLVCore::Uninitialize(void), okeere Flash Video Extension.dll, itọnisọna ti wa ni afikun CALL. Eyi tumọ si pe lẹhin ti o ti kojọpọ DLL irira, nigbati akoko ṣiṣe awọn ipe WinMain в TCPSVCS.exe, Atọka itọnisọna yoo tọka si NOP, nfa FLVCore::Uninitialize(void), tókàn ipele.
Iṣẹ naa ṣẹda mutex kan ti o bẹrẹ pẹlu {181C8480-A975-411C-AB0A-630DB8B0A221}atẹle nipa awọn ti isiyi olumulo. Lẹhinna o ka faili * .db3 ti a da silẹ, eyiti o ni koodu ominira ipo, ati lilo CreateThread lati ṣiṣẹ akoonu.
Awọn akoonu inu faili * .db3 jẹ koodu shell ti ẹgbẹ OceanLotus nigbagbogbo nlo. A tun ṣaṣeyọri ṣiṣatunṣe ẹru isanwo rẹ ni lilo iwe afọwọkọ emulator ti a ṣejade .
Awọn akosile ayokuro ik ipele. Ẹya paati yii jẹ ẹnu-ọna ẹhin, eyiti a ti ṣe atupale tẹlẹ ninu . Eyi le ṣe ipinnu nipasẹ GUID {A96B020F-0000-466F-A96D-A91BBF8EAC96} faili alakomeji. Iṣeto malware tun jẹ ti paroko ni orisun PE. O ni isunmọ iṣeto kanna, ṣugbọn awọn olupin C&C yatọ si awọn ti iṣaaju:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
Ẹgbẹ OceanLotus tun ṣe afihan apapo awọn ilana oriṣiriṣi lati yago fun wiwa. Wọn pada pẹlu aworan “ti a ti tunṣe” ti ilana ikolu naa. Nipa yiyan awọn orukọ laileto ati kikun awọn iṣẹ ṣiṣe pẹlu data laileto, wọn dinku nọmba awọn IoC ti o gbẹkẹle (da lori awọn hashes ati awọn orukọ faili). Pẹlupẹlu, o ṣeun si lilo ikojọpọ DLL ẹni-kẹta, awọn ikọlu nilo nikan lati yọ alakomeji t’olofin kuro. AcroTranscoder.
Awọn ile ifi nkan pamosi ti ara ẹni
Lẹhin awọn faili RTF, ẹgbẹ naa gbe lọ si awọn ile-ipamọ ti ara ẹni (SFX) pẹlu awọn aami iwe-ipamọ ti o wọpọ lati daamu olumulo siwaju sii. Threatbook kowe nipa eyi (). Lẹhin ifilọlẹ, awọn faili RAR ti ara ẹni yọkuro silẹ ati pe awọn DLL ti o ni itẹsiwaju .ocx ti wa ni ṣiṣe, fifuye ipari ti eyiti o ti ni akọsilẹ tẹlẹ. {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. Lati aarin Oṣu Kini ọdun 2019, OceanLotus ti n tun lo ilana yii, ṣugbọn iyipada diẹ ninu awọn atunto lori akoko. Ni apakan yii a yoo sọrọ nipa ilana ati awọn iyipada.
Ṣiṣẹda a Lure
Iwe-ipamọ THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) ni akọkọ ti a rii ni ọdun 2018. Faili SFX yii ni a ṣẹda pẹlu ọgbọn - ninu apejuwe (Alaye Ẹya) o sọ pe eyi jẹ aworan JPEG kan. Iwe afọwọkọ SFX dabi eyi:
olusin 9. SFX Àsẹ
Awọn malware tunto {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), bakanna bi aworan kan 2018 thich thong lac.jpg.
Aworan ẹtan naa dabi eleyi:
olusin 10. Decoy image
O le ti ṣe akiyesi pe awọn ila meji akọkọ ninu iwe afọwọkọ SFX pe faili OCX lẹẹmeji, ṣugbọn eyi kii ṣe aṣiṣe.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
Ṣiṣan iṣakoso ti faili OCX jẹ iru pupọ si awọn paati OceanLotus miiran - ọpọlọpọ awọn ilana aṣẹ JZ/JNZ и PUSH/RET, alternating pẹlu koodu idoti.
olusin 11. Obfuscated koodu
Lẹhin ti sisẹ jade ijekuje koodu, okeere DllRegisterServer, ti a npe ni regsvr32.exe, ni atẹle:
olusin 12. Ipilẹ insitola koodu
Ni ipilẹ, lori ipe akọkọ DllRegisterServer okeere tosaaju iye iforukọsilẹ HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model fun aiṣedeede ti paroko ni DLL (0x10001DE0).
Nigbati a ba pe iṣẹ naa ni akoko keji, o ka iye kanna ati ṣiṣe ni adirẹsi yẹn. Lati ibi awọn oluşewadi ati ọpọlọpọ awọn iṣe ni Ramu ti wa ni kika ati ṣiṣe.
Awọn shellcode jẹ agberu PE kanna ti a lo ninu awọn ipolongo OceanLotus ti o kọja. O le ṣe apẹẹrẹ nipa lilo . Ni ipari o tunto db293b825dcc419ba7dc2c49fa2757ee.dll, fifuye o sinu iranti ati ki o ṣiṣẹ DllEntry.
DLL jade awọn akoonu ti awọn oluşewadi rẹ, decrypts (AES-256-CBC) ati decompresses (LZMA) o. Awọn oluşewadi ni ọna kika kan pato ti o rọrun lati ṣajọ.
Nọmba 13. Eto iṣeto insitola (KaitaiStruct Visualizer)
Iṣeto ni pato - da lori ipele anfani, data alakomeji yoo kọ si %appdata%IntellogsBackgroundUploadTask.cpl tabi %windir%System32BackgroundUploadTask.cpl (tabi SysWOW64 fun 64-bit awọn ọna šiše).
Iduro siwaju sii ni idaniloju nipasẹ ṣiṣẹda iṣẹ-ṣiṣe pẹlu orukọ BackgroundUploadTask[junk].jobnibo [junk] duro kan ti ṣeto ti awọn baiti 0x9D и 0xA0.
Orukọ Ohun elo Iṣẹ-ṣiṣe %windir%System32control.exe, ati iye paramita ni ọna si faili alakomeji ti o gba lati ayelujara. Iṣẹ-ṣiṣe ti o farapamọ nṣiṣẹ ni gbogbo ọjọ.
Ni igbekalẹ, faili CPL jẹ DLL pẹlu orukọ inu ac8e06de0a6c4483af9837d96504127e.dll, eyi ti o okeere iṣẹ kan CPlApplet. Faili yii npa awọn orisun rẹ nikan kuro {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, lẹhinna gbe DLL yii ati pe o pe okeere rẹ nikan DllEntry.
Backdoor iṣeto ni faili
Iṣeto ẹhin ẹhin jẹ ti paroko ati ifibọ sinu awọn orisun rẹ. Eto ti faili iṣeto ni o jọra pupọ si ti iṣaaju.
Nọmba 14. Ẹya iṣeto ni ẹhin (KaitaiStruct Visualizer)
Botilẹjẹpe eto naa jọra, ọpọlọpọ awọn iye aaye ti ni imudojuiwọn lati awọn ti o han ninu .
Ẹya akọkọ ti titobi alakomeji ni DLL kan (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759), . Ṣugbọn niwọn igba ti a ti yọ orukọ okeere kuro ni alakomeji, awọn hashes ko baramu.
Afikun Iwadi
Lakoko gbigba awọn ayẹwo, a ṣe akiyesi diẹ ninu awọn abuda. Apeere ti o kan ṣapejuwe han ni ayika Oṣu Keje ọdun 2018, ati awọn miiran bii o farahan laipẹ bi aarin Oṣu Kini si ibẹrẹ Kínní ọdun 2019. Ile ifi nkan pamosi SFX ni a lo bi fekito akoran, sisọ iwe-ipamọ ti o tọ silẹ ati faili OSX irira kan.
Paapaa botilẹjẹpe OceanLotus nlo awọn ami akoko iro, a ṣe akiyesi pe awọn akoko akoko ti awọn faili SFX ati OCX nigbagbogbo jẹ kanna (0x57B0C36A (08/14/2016 @ 7:15 UTC) ati 0x498BE80F (02/06/2009 @ 7:34am UTC) lẹsẹsẹ). Eyi le tọkasi pe awọn onkọwe ni diẹ ninu iru “apẹrẹ” ti o lo awọn awoṣe kanna ati irọrun yi awọn abuda kan pada.
Lara awọn iwe aṣẹ ti a ti kẹkọọ lati ibẹrẹ ọdun 2018, awọn orukọ oriṣiriṣi wa ti o nfihan awọn orilẹ-ede ti o nifẹ si awọn ikọlu:
- Alaye Olubasọrọ Tuntun ti Media Cambodia (Titun) .xls.exe
- 李建香 (个人简历) .exe (iwe pdf iro ti CV)
- esi, Rally ni USA lati Keje 28-29, 2018.exe
Niwon awọn backdoor a ti se awari {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll ati titẹjade itupalẹ rẹ nipasẹ ọpọlọpọ awọn oniwadi, a ṣe akiyesi diẹ ninu awọn ayipada ninu data iṣeto malware.
Ni akọkọ, awọn onkọwe bẹrẹ yiyọ awọn orukọ kuro ni oluranlọwọ DLLs (DNSprov.dll ati awọn ẹya meji HttpProv.dll). Awọn oniṣẹ lẹhinna duro iṣakojọpọ DLL kẹta (ẹya keji HttpProv.dll), yan lati fi sabe nikan.
Ẹlẹẹkeji, ọpọlọpọ awọn aaye iṣeto ni ẹhin ni a yipada, o ṣee ṣe lati yago fun wiwa bi ọpọlọpọ awọn IoC ṣe wa. Awọn aaye pataki ti a ṣe atunṣe nipasẹ awọn onkọwe pẹlu:
- Bọtini iforukọsilẹ AppX yipada (wo IoCs)
- okun fifi koodu mutex ("def", "abc", "ghi")
- ibudo nọmba
Ni ipari, gbogbo awọn ẹya tuntun ti a ṣe atupale ni awọn C&C tuntun ti a ṣe akojọ si ni apakan IoCs.
awari
OceanLotus tẹsiwaju lati dagbasoke. Ẹgbẹ cyber ti dojukọ lori isọdọtun ati faagun awọn irinṣẹ ati awọn ẹtan. Awọn onkọwe paarọ awọn ẹru isanwo irira nipa lilo awọn iwe akiyesi akiyesi eyiti koko-ọrọ wọn ṣe pataki si awọn olufaragba ti a pinnu. Wọn ṣe agbekalẹ awọn ero tuntun ati tun lo awọn irinṣẹ ti o wa ni gbangba, gẹgẹbi ilokulo Olootu Idogba. Pẹlupẹlu, wọn n ṣe ilọsiwaju awọn irinṣẹ lati dinku nọmba awọn ohun-ọṣọ ti o ku lori awọn ẹrọ olufaragba, nitorinaa idinku aye wiwa nipasẹ sọfitiwia ọlọjẹ.
Awọn afihan ti adehun
Awọn itọka adehun bi daradara bi awọn abuda MITER ATT&CK wa и .
orisun: www.habr.com
