APT组织简介
OceanLotus(海莲花)APT组织是一个长期针对中国及其他东亚、东南亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织,该组织也是针对中国境内的最活跃的APT组织之一,该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料,通过追踪它这些年的攻击手法和攻击目标,OceanLotus很有可能是具有国外政府支持背景的、高度组织化的、专业化的境外国家级黑客组织
初期的OceanLotus特种木马技术并不复杂,容易发现和查杀,2014年OceanLotus特种木马开始采用包括文件伪装、随机加密和自我销毁等一系列复杂的攻击技术与安全软件进行对抗,随后OceanLotus特种木马又开始转向云控技术,攻击的危险性、不确定性与木马识别查杀的难度都大大增强
OceanLotus(海莲花) APT组织擅长使用鱼叉攻击和水坑攻击,NSA武器库曝光后,还使用了永恒系列漏洞进行攻击,投递的攻击武器种类比较多,RTA包括:Denis、CobaltStrike、PHOREAL、salgorea、类gh0st、Ratsnif等
2019年OceanLotus仍然使用电子邮件投递诱饵的方式实施鱼叉攻击,投递的诱饵类型多种多样,有白加黑、LNK、CHM、漏洞利用Office文件,WinRAR RCE漏洞、文档图标的EXE等,在启动方式上,通过修改DOC、TXT等文档文件类型关联程序的方式来实现开机自启动,并通过在PE文件资源中添加大量的垃圾数据,扩充程序体积进行免杀,利用COM组件添加注册表从而绕过安全软件主动防御的技术等
APT组织加载恶意样本的方式多种多样,其中白加黑加载方式是一种常用APT攻击手法,也是海莲花最常用的APT攻击手法之一,统计最近几年国内发布的OceanLotus(海莲花)APT组织报告中的白+黑程序名,如下所示:
APT样本分析
样本使用了白加黑的加载方式加载恶意程序,利用Google的升级程序Google_Install.exe,恶意程序为goopdate.dll,如下所示:
运行Google_Install.exe,会加载goopdate.dll,如下所示:
样本使用了大量的加密、混淆手法,通过动态调试(调试过程略),可以解密出里面的部分代码,如下所示:
然后在内存中解密出黑客服务器地址以及获取主机相关信息,如下所示:
创建线程执行解密出来的ShellCode代码,如下所示:
解密出来的ShellCode,如下所示:
ShellCode代码从远程黑客服务器hxxps://summerevent.webhop.net/yULB上下载恶意程序,如下所示:
执行ShellCode,连接远程黑客服务器,如下所示:
请求远程服务器上的恶意程序,如下所示:
获取远程服务器上的恶意程序,然后加载到内存中执行,如下所示:
远程服务器上的恶意程序,如下所示:
经过分析远程服务器上的恶意程序为Cobalt Strike Beacon后门程序,获取主机相关信息发送到黑客远程服务器,然后等待执行远程命令,黑客服务器地址:summerevent.webhop.net,发现微步在线已经更新了,如下所示:
APT威胁情报
HASH
F51EA654793255DEBF9BF6011AE1CA89
C2
summerevent.webhop.net
URL
hxxps://summerevent.webhop.net/yULB