样本信息

样本名称：Trojan.Ursu.a。
样本家族：海莲花
样本类型：白利用。
MD5：05E513C612B0384804DB9BDA5277087C。
SHA1：FAD949D96667A1DC0161D14132865B7B886B1137。
文件类型：Win32 dll。
文件大小：1436879 bytes。
传播途径：暂无。
专杀信息：暂无
影响系统：Win7 x64，win8，win10。
样本来源：互联网
发现时间：2019.04
入库时间：2019.04
C2服务器：fa0K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6G2k6X3k6A6j5$3g2%4M7s2y4Q4x3X3g2F1k6i4c8Q4x3V1k6#2L8s2c8J5j5g2)9J5k6h3A6H3k6#2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

样本概况

2012年4月起至今，某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。该境外黑客组织被命名为“海莲花(OceanLotus)”。该组织主要通过鱼叉攻击和水坑攻击等方法，配合多种社会工程学手段进行渗透，向境内特定目标人群传播特种木马程序，秘密控制部分政府人员、外包商和行业专家的电脑系统，窃取系统中相关领域的机密资料。
近期江民全球样本态势系统捕获了到了最新的攻击诱饵文件。诱饵文件名为“2019 年第一季度工作方向附表.rar”，该诱饵在攻击过程中使用了两层白利用进行 DLL劫持，第一层为 Word 白利用，第二层为 360 安全浏览器白利用。最终投递的木马为 Cobalt Strike Beacon 后门，具备进程注入、文件创建、服务创建、文件释放等功能，C2 通信使用 Safebrowsing 可延展 C2 配置。

样本危害

伪装成word文档，点击后通过白利用加载有害的动态库，最终会下载指定的任意代码并执行，实现木马的投递。

手工清除方法

1). 删除文件
2019年第一季度工作方向附表.rar
wwlib.dll
2019年第一季度工作方向附表.EXE
%temp%\2019 年第一季度工作方向附表.docx
C:\ProgramData\360seMaintenance\chrome_elf.dll。
C:\ProgramData\360seMaintenance\360se.exe。
2). 删除注册表
3). HKEY_CURRENT_USER\Software\Classes\.docx 
HKEY_CURRENT_USER\Software\Classes\.doc

漏洞补丁信息

无

应对措施及建议

1). 不要轻信发件人地址中显示的“显示名”。因为显示名实际上是可以随便设置的，要注意阅读发件邮箱全称。
2). 不要轻易点开陌生邮件中的链接。正文中如果有链接地址，切忌直接打开，大量的钓鱼邮件使用短链接（例如8d2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8Q4x3X3g2U0L8W2)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`.
3). 不要放松对“熟人”邮件的警惕。攻击者常常会利用攻陷的组织内成员邮箱发送钓鱼邮件，如果收到了来自信任的朋友或者同事的邮件，你对邮件内容表示怀疑，可直接拨打电话向其核实。
4). 管理用户账号权限，遵从系统和应用账户权限最小化原则，限制授权用户对管理员级别权限的访问。
5). 加强系统和软件的及时升级，打全补丁。
6). 修改UAC的默认设置，将其修改为“始终通知并等待我的响应”。除此之外，在授权某项操作时，还应该要求用户输入密码。

行为概述

文件行为

1). 创建文件C:\ProgramData\360seMaintenance\chrome_elf.dll。
2). 创建文件C:\ProgramData\360seMaintenance\360se.exe。
3). 创建文件%temp%\2019 年第一季度工作方向附表.docx。
4). 删除文件wwlib.dll

进程行为

1). 创建进程c:\program files\microsoft office\root\office16\winword.exe。
2). 创建进程C:\ProgramData\360seMaintenance\360se.exe

注册表行为

1). 修改注册表项
HKEY_CURRENT_USER\Software\Classes\ocsmeet_auto_file\shell\edit\command= "C:\Program Files\Microsoft Office\Root\Office16\lync.exe" "%1"。
2). 修改注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ocsmeet\UserChoice\Progid=ocsmeet_auto_file。
3). 修改注册表项
HKEY_CURRENT_USER\Software\Classes\WORD.19\shell\open\command= C:\ProgramData\360seMaintenance\360se.exe  /n "%1" /o "%u"
4). 创建注册表项
HKEY_CURRENT_USER, L"Software\\Classes\\.docx
HKEY_CURRENT_USER, L"Software\\Classes\\.doc

网络行为

1) 试图从8f6K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6G2k6X3k6A6j5$3g2%4M7s2y4Q4x3X3g2F1k6i4c8Q4x3V1k6#2L8s2c8J5j5g2)9J5k6h3A6H3k6#2!0q4y4q4!0n7z5q4)9^5b7W2!0q4z5q4!0n7c8q4!0n7c8q4!0q4y4W2)9&6y4g2!0n7x3q4!0q4y4W2)9^5c8q4!0m8c8g2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

详细分析报告

1). 诱饵文件“2019 年第一季度工作方向附表.rar”为一压缩文件，解压得到“2019 年第一季度工作方向附表.EXE” 和“wwlib.dll”，其中“2019 年第一季度工作方向附表.EXE”是Word 2007 可执行程序，该文件是一个白文件，有微软的签名。“wwlib.dll”文件是点击“2019 年第一季度工作方向附表.EXE”文件后会加载的黑文件。

图1.1 诱饵文件2019 年第一季度工作方向附表.rar

图1.2 2019 年第一季度工作方向附表.EXE的签名

2). “wwlib.dll”文件信息。文件类型：PE32 DLL，文件大小：1436879 bytes，时间戳： 0x5C60E815(Mon Feb 11 11:12:21 2019)，MD5：05E513C612B0384804DB9BDA5277087C，SHA-1：FB46ED36C2F2DFD6ECFA898CD6CB176C4950DF4F，SHA-256：236623CD3BE93A832AE86BB7BFBF66E6D5E00ABBC6EBC6555C09988412448391。该文件被设置为隐藏文件。

3). 在系统盘符下的”\ProgramData\360seMaintenance\”目录下释放2个文件，”chrome_elf.dll”和“360se.exe”。”360se.exe”是白文件，MD5：A16702ED1812DDC42153EF070F3DFDD6，SHA-1：D1D59D7B71D30AF0CA65A52516663F5FF787CB74。

图3.1 释放”chrome_elf.dll”和“360se.exe”文件

图3.2 ”chrome_elf.dll”和“360se.exe”文件

图3.3 360se.exe的签名

4). 接着”wwlib.dll”根据 EXE 程序名构造“2019 年第一季度工作方向附表.docx”字符串，然后 在%Temp%目录写入带密码的 docx 文档，伪装自己是一个正常的文档。

图4.1 释放docx文件

图4.2 docx文件有密码

5). 如果首次运行，则会在注册表目录 “Software\\Classes\\”创建“.doc”和“.docx”项，然后调用 WORD程序打开释放到 Temp 目录的.docx 文件。"C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n  "C:\Users\jiangmin\AppData\Local\Temp\2019年第一季度工作方向附表.docx"  /o "%u"

图5.1 判断是否第一次运行

图5.2 运行

6). 查询注册表”Software\\Classes\\”存在“.doc”和“.docx”，如果存在说明不是第一次运行，则执行“360se.exe”文件，并附加Temp 目录释放的 docx 文件路径为参数。

图6 执行360se.exe

7). 360se.exe会加载前面释放的chrome_elf.dll文件，chrome_elf.dll动态库的DllMain()中打开参数中的docx 文件，读取数据，调用CryptAPI系列函数解密字符串，得到一个URL：“075K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6G2k6X3k6A6j5$3g2%4M7s2y4Q4x3X3g2F1k6i4c8Q4x3V1k6#2L8s2c8J5j5g2)9J5k6h3A6H3k6#2!0q4x3W2)9^5x3q4)9&6c8l9`.`. 。然后删除前面的wwlib.dll文件。

图7.1 解密字符串

图7.2 删除文件wwlib.dll

8). 然后打开参数中的docx文档，检查是否存在Software\\Classes\\.docx和Software\\Classes\\.doc，如果没有则创建。

图8.1 打开docx文档

图8.2 检查注册表Software\\Classes\\.docx

图8.3 检查注册表Software\\Classes\\.doc

9). 然后360se.exe调用的chrome_elf.dll导出函数SignalInitializeCrashReporting()，遍历进程，如果没有名为的360se.exe进程则不执行后面的行为。

图9 遍历查找进程

10). 从前面解密的URL”0b9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6G2k6X3k6A6j5$3g2%4M7s2y4Q4x3X3g2F1k6i4c8Q4x3V1k6#2L8s2c8J5j5g2)9J5k6h3A6H3k6#2!0q4x3W2)9^5x3q4)9&6c8q4!0q4y4q4!0n7z5q4)9^5b7W2!0q4z5q4!0n7c8q4!0n7c8q4!0q4y4W2)9&6y4g2!0n7x3q4!0q4y4W2)9^5c8q4!0m8c8g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4#2)9^5y4q4!0n7y4W2!0q4y4g2)9&6x3q4)9^5c8g2!0q4y4#2)9&6y4q4!0n7x3#2!0q4z5q4!0m8c8W2!0n7y4#2!0q4y4W2)9&6y4W2!0n7x3q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2)9^5y4W2)9^5y4g2!0q4y4g2!0m8c8q4)9&6z5q4!0q4y4#2!0m8z5g2!0n7b7g2!0q4z5g2)9&6y4#2!0n7y4q4!0q4y4g2!0n7x3q4)9^5y4W2!0q4y4W2)9&6y4g2!0n7x3q4!0q4y4W2)9^5c8q4!0m8c8g2!0q4y4W2)9^5b7W2!0n7y4#2!0q4z5q4!0n7y4q4)9&6c8q4!0q4z5q4!0n7c8W2)9^5y4#2!0q4y4g2)9^5c8g2!0n7b7W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2)9&6b7#2)9^5x3q4!0q4y4g2)9&6x3q4)9^5c8g2!0q4y4W2)9^5z5g2!0m8y4#2!0q4z5q4!0m8x3g2)9^5b7#2!0q4y4q4!0n7z5q4)9^5b7W2!0q4z5q4!0n7c8q4!0n7c8q4!0q4y4#2)9&6b7g2)9^5y4s2m8D9j5i4W2D9L8$3q4V1i4@1f1K6i4K6R3H3i4K6R3J5i4@1f1%4i4K6V1@1i4@1t1I4i4@1f1@1i4@1u0m8i4K6S2q4i4@1f1^5i4@1q4r3i4@1p5#2g2g2u0x3i4@1f1#2i4@1t1%4i4@1t1J5i4@1f1%4i4@1u0n7i4K6S2r3i4@1f1#2i4@1p5@1i4@1t1I4i4@1f1$3i4K6V1#2i4K6R3^5i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1$3i4K6V1%4i4@1p5H3i4@1f1$3i4@1t1K6i4K6V1#2i4@1f1#2i4K6R3^5i4K6R3$3i4@1f1$3i4K6W2q4i4K6V1H3M7r3I4S2P5h3I4G2j5h3c8Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0g2Q4z5e0m8Q4z5p5g2Q4c8e0N6Q4b7V1u0Q4b7f1c8Q4c8e0S2Q4b7e0q4Q4z5p5y4Q4c8e0c8Q4b7U0S2Q4b7V1q4Q4c8e0y4Q4z5o6m8Q4z5o6t1`.

图10.1 下载数据

图10.2 申请内存拷贝代码并执行

样本溯源分析

URL：53fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6G2k6X3k6A6j5$3g2%4M7s2y4Q4x3X3g2F1k6i4c8Q4x3V1k6#2L8s2c8J5j5g2)9J5k6h3A6H3k6H3`.`.
域名指向IP：
14.128.9.26泰国2019-01-21
162.255.119.119美国2018-12-25
注册者：WhoisGuard Protected
注册机构：WhoisGuard, Inc.
邮箱：df5d01cc791a44a780b569ada86d00a8.protect@whoisguard.com
地址
电话：+507.8365503
注册时间：2018-12-13 07:13:28
过期时间：2019-12-13 07:13:28
更新时间：2018-12-13 07:13:28
域名服务商：NAMECHEAP INC
域名服务器：dns1.registrar-servers.com; dns2.registrar-servers.com

总结 

附录

Hash

3B132E407474BC1C830D5A173428A6E1
05E513C612B0384804DB9BDA5277087C

C&C

e72K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6G2k6X3k6A6j5$3g2%4M7s2y4Q4x3X3g2F1k6i4c8Q4x3V1k6#2L8s2c8J5j5g2)9J5k6h3A6H3k6H3`.`.