海莲花组织最新攻击事务分析

颁布功夫 2018-06-09

海莲花(OceanLotus、APT32)是一个拥有越南布景的黑客组织。该组织最早被发现于 2012 年 4月攻击中国海事机构、海域建设部门、科研院所和航运企业。重要使用鱼叉和水坑攻击方式，共同社工伎俩，利用特种木马进行切合越南国度利益的针对性窃密活动。

近日，GA黄金甲金睛安全钻研团队发现了一路该组织的最新攻击事务，还原了从载荷投递到最后开释远控后门的整个攻击过程。

◆载荷分析◆

本次投放的恶意文档名为??n khi?u n?i，文件名为越南语，翻译后中文意思为“投诉”。

GA黄金甲·(中国区)官方网站

该文档现实为一个恶意宏文档，打开后会显示引诱用户启动宏开关的图片

GA黄金甲·(中国区)官方网站

通过进入宏代码窗口，发现设置了密码�；�。

GA黄金甲·(中国区)官方网站

经过处置，我们获取到了一段混合较为严沉的VBS代码。

GA黄金甲·(中国区)官方网站

经过混合解密后，能够得到以下VBS代码。

GA黄金甲·(中国区)官方网站

解密后，该剧本会去加载一段新的vbscript剧本。值得一提的是，在获取该段剧本过程中，我们发现存在区域限度问题，即在某些国度和地域无法对其进行下载，最后我们通过某些蹊径将其获取到。

◆VBS Loader分析◆

得到该剧本后，我们发现该段代码也拥有强混合手法。

GA黄金甲·(中国区)官方网站

经过度析发现，原始文件存在3段代码，别离使用了0x35, 0x39, 0x35作为异或解密的密钥。

第一段代码如下所示。这段代码新建了一个Excel对象，并批改了注册表中AccessVBOM的值，使剧本能够对宏进行挪用执行。

第二段代码为该Excel对象的宏代码，该段宏代码经过了肯定的混合，并使用了0x78来异或加密其中的字符串。并使用CreateProcess来挪用rundll32，而后将一段shellcode注入到该过程中，并最终通过CreateRemoteThread加载该段shellcode。

shellcode的前半部门是base64解码法式，后半部门是base64数据。

宏代码中的shellcode内容如下所示。

GA黄金甲·(中国区)官方网站

shellcode的前0x76个字节是一个loader，作用是对后面的数据进行解码并加载。该数据的编码为base64，经过解码后能够得到另一段shellcode，如下所示。

GA黄金甲·(中国区)官方网站

这段shellcode会衔接C&C服务器，下载另一段shellcode内容并直接加载。

第三段代码如下所示。这段代码挪用了该Excel的Auto_Open函数，并关关Excel对象，复原注册表中的AccessVBOM字段。

GA黄金甲·(中国区)官方网站

◆远控分析◆

最终的shellcode鄙人载实现并运行后，首先shellcode头部通过将偏移0x34和0x38处的数据进行异或求得数据的总长度，而后对随后的数据进行异或解密，在全数解密实现后起头执行代码。

GA黄金甲·(中国区)官方网站

解密后得到一个DLL文件，该文件的导出�？槊�17f2d8.dll，导出函数名为_ReflectiveLoader@4。

GA黄金甲·(中国区)官方网站

在DllMain函数的开头，会对0x10030028处大幼为0x1000的数据进行异或0x69解密。

GA黄金甲·(中国区)官方网站

在解密后的数据中，能够发现该后门回连的C&C服务器为：

https://***.***.net,/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books

GA黄金甲·(中国区)官方网站

另表，该样本也在要求中将自己伪造为amazon.com，将传输的数据编码后暗藏在Cookies字段中。

GA黄金甲·(中国区)官方网站

当得到C&C服务器发过来的指令后，该远控便会执行相应的操作，通过统计发现有长达72种指令。

GA黄金甲·(中国区)官方网站

以下为其中几种指令的职能。

GA黄金甲·(中国区)官方网站

◆溯源与关联分析◆

Shellcode关联

结合该VBS剧本下载的shellcode的编写技巧，我们通过以往追踪海莲花组织的经验，发现该段shellcode与以往海莲花组织所使用的shellcode手法险些一致。

GA黄金甲·(中国区)官方网站

（上图为本次攻击中使用的shellcode，下图为以往海莲花所使用的shellcode）

GA黄金甲·(中国区)官方网站

同源性关联分析

除了shellcode表，从本次攻击中最后开释的远控，与在我们以往披露的海莲花组织汇报中（详见《2017网络安全态势观察汇报》），无论是回传特点，还是代码结构甚至假装成amazon的host主机回传信息的行为都险些一致。

GA黄金甲·(中国区)官方网站

因而能够确认，本次攻击确为海莲花组织提议，并且该组织依然在沿用以往的兵器。

本次攻击中所使用的样本文件名为越南语书写，且标题与贸易有关，因而很有可能指标针对越南有关的私营企业。

◆解决规划◆

1、目前，GA黄金甲VenusEye威胁谍报中心已经支持针对这次攻击所涉及谍报的查问。

GA黄金甲·(中国区)官方网站

2、天阗高级持续性威胁检测系统无需升级即可检测有关攻击样本。

GA黄金甲·(中国区)官方网站

3、天阗入侵检测系统、天清入侵防御系统等已经支持对此海莲花组织攻击活动的检测，有关事务名：HTTP_木马_海莲花_衔接。

金睛安全钻研团队是GA黄金甲集团检测产品本部专业从事威胁分析的团队。重要职责是对现有产品网络上报的安全事务、样本数据进行挖掘、分析，并向用户提供专业分析汇报。该组织会凭据数据产生的威胁谍报，对其当选取的各类攻防技术做深刻的跟踪和分析，并且给出专业的分析了局、提出专业建议，为用户决策提供援手。

7*24幼时服务热线

400-624-3900

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

关于GA黄金甲

海莲花组织最新攻击事务分析

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线