-
-
[原创] APT32组织样本分析
-
发表于: 2022-3-12 01:22
-
前言
OceanLotus(海莲花)APT组织是一个长期针对中国及其他东亚、东南亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织,该组织也是针对中国境内的最活跃的APT组织之一,该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料,通过追踪它这些年的攻击手法和攻击目标,OceanLotus很有可能是具有国外政府支持背景的、高度组织化的、专业化的境外国家级黑客组织 初期的OceanLotus特种木马技术并不复杂,容易发现和查杀,2014年OceanLotus特种木马开始采用包括文件伪装、随机加密和自我销毁等一系列复杂的攻击技术与安全软件进行对抗,随后OceanLotus特种木马又开始转向云控技术,攻击的危险性、不确定性与木马识别查杀的难度都大大增强 OceanLotus(海莲花) APT组织擅长使用鱼叉攻击和水坑攻击,NSA武器库曝光后,还使用了永恒系列漏洞进行攻击,投递的攻击武器种类比较多,RTA包括:Denis、CobaltStrike、PHOREAL、salgorea、类gh0st、Ratsnif等
APT样本分析
样本通过释放带数字签名的WINWORD.EXE程序侧加载(白加黑)“wwlib.dll”恶意DLL文件,“wwwlib.dll”执行后会解密自身携带的数据并释放诱饵白文档,然后通过解密后执行下载器Shellcode,最后通过HTTP请求下载CobaltStrike Beacon。
一、样本基本信息
将样本解压后
运行WINWORD.EXE会加载wwwlib.dll
二、动态调试
样本使用大量混淆以及多层加密,动过动态调试可解密部分代码
侧加载 “wwwlib.dll”,并将诱饵文档释放到“%TEMP%”目录
打开生成的诱饵文档
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
已找到 |
