“海莲花”(OceanLotus)2019年针对中国攻击活动汇总
来源:岁月联盟
时间:2020-01-29
之前的攻击活动中,都是解密shellcode后,就直接执行最终的RAT,如:
而在最新的攻击活动中,我们发现,解密shellcode后,会先下载shellcode执行,如果下载不成功,再来加载预先设定好的RAT:
这样使得攻击活动更加的丰富和多样性,并且也可控。
2.5 与安全软件对抗激烈
海莲花也采用了多种对抗安全软件的方式,主要为:
1、 dll的侧加载(白加黑)
该技术上面已详细描述,这里不再赘述。
2、 使用系统文件来执行:
如odbcconf.exe
3、 Office中直接内存执行shellcode
上文也已经描述,这里也不再展开。
4、 添加垃圾数据以扩充文件大小
为了防止该文件被安全厂商收集,海莲花组织特意在某些文件的资源中添加大量的垃圾数据的方式以扩充文件大小。
如某文件,填充垃圾数据后,文件大小高达61.4 MB (64,480,256 字节):
5、 每台机器的第二阶段后门都是定制的
每台机器的第二阶段后门文件都是根据当前机器的机器属性(如机器名)来加密定制的,因此每台机器上的文件hash都是不一样,且没这台机器的相关信息则无法解密。因此且即便被安全厂商捕捉,只要没有这台机器的相关遥感数据就无法解密出真正的payload。详细的见后文的"定制化后门"部分。
6、 通信的伪装
如某次攻击中C2的伪装:根据配置信息,可进行不同的连接和伪装,对C2进行拼装后再进行解析。拼接方式为(xxx为配置C2):
{rand}.xxx
www6.xxx
cdn.xxx
api.xxx
HTTP Header的伪装:
2.6 定制化的后门
使用定制化的后门(主要是第二阶段下发的后门),海莲花组织在2019年所使用的技术中最令人印象深刻的。该技术我们曾经在《2019年海莲花第一季度攻击报告》中首次曝光:针对每台机器下发的恶意文件,都使用被下发机器的相关机器属性(如机器名)进行加密,而执行则需要该部分信息,否则无法解密。因此每个下发的恶意文件都不一样,而且即便被安全厂商捕捉,只要没有该机器的相关遥感数据就无法解密出真正的payload。
该后门最终使用白加黑的方式来执行,包括AdobeUpdate.exe+goopdate.dll、KuGouUpdate.exe+goopdate.dll、
XGFileCheck.exe + goopdate.dll、SogouCloud.exe+ inetmib1.dll等组合来执行。
加密流程为:
可以看到,某次针对国家某单位的攻击中,使用的密钥为:
而该受害的用户名为Cao**,可见该木马只专门为了感染该电脑而特意生成的。
2.7 多种恶意软件的选择
从我们的长期跟踪结果来看,海莲花组织使用最终的恶意软件(无论是第一阶段后门还是第二阶段后门)主要有三种,分别是CobaltStrike的beacon木马、Denis家族木马、修改版的Gh0st。其中CobaltStrike和Denis使用的最多,而修改版的Gh0st则比较少见。
CobaltStrike:
Denis:
修改版Gh0st:
2.8 持续的内网渗透
通过钓鱼攻击攻陷一台主机后,海莲花还会不断对被攻击的内网进行渗透攻击活动,以此来渗透到更多的内网机器:
扫描:
上一页 [1] [2] [3] [4] [5] 下一页
