-
-
[原创] APT32组织样本分析
-
发表于:
2022-3-12 01:22
12919
-
OceanLotus(海莲花)APT组织是一个长期针对中国及其他东亚、东南亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织,该组织也是针对中国境内的最活跃的APT组织之一,该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料,通过追踪它这些年的攻击手法和攻击目标,OceanLotus很有可能是具有国外政府支持背景的、高度组织化的、专业化的境外国家级黑客组织 初期的OceanLotus特种木马技术并不复杂,容易发现和查杀,2014年OceanLotus特种木马开始采用包括文件伪装、随机加密和自我销毁等一系列复杂的攻击技术与安全软件进行对抗,随后OceanLotus特种木马又开始转向云控技术,攻击的危险性、不确定性与木马识别查杀的难度都大大增强 OceanLotus(海莲花) APT组织擅长使用鱼叉攻击和水坑攻击,NSA武器库曝光后,还使用了永恒系列漏洞进行攻击,投递的攻击武器种类比较多,RTA包括:Denis、CobaltStrike、PHOREAL、salgorea、类gh0st、Ratsnif等
样本通过释放带数字签名的WINWORD.EXE程序侧加载(白加黑)“wwlib.dll”恶意DLL文件,“wwwlib.dll”执行后会解密自身携带的数据并释放诱饵白文档,然后通过解密后执行下载器Shellcode,最后通过HTTP请求下载CobaltStrike Beacon。
将样本解压后
运行WINWORD.EXE会加载wwwlib.dll
样本使用大量混淆以及多层加密,动过动态调试可解密部分代码
侧加载 “wwwlib.dll”,并将诱饵文档释放到“%TEMP%”目录
打开生成的诱饵文档
index.dat保存了cookie、历史记录,记录着通过浏览器访问过的网址、访问时间、历史记录等信息。
通过CryptDecrypt解密ShellCode
Shellcode代码主要功能是实现下载Payload,也就是通过URL“https://summerevent.webhop.net/SLdY”下载Cobalt Strike生成的Beacon
Cobalt Strike是一款以metasploit为基础的GUI的框架式渗透工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,winexe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。
Cobalt Strike主要用于团队作战,可以说是内网渗透中的团队渗透神器,CobaltStrike能够让多个攻击者同时连接到团队服务器上,共享攻击资源与目标信心和Session。要知道众人拾柴火焰高的道理,当我们发现一个内网控制点后,为了使我们的攻击收益最大化,最好的办法就是跟团队共享资源,给其他成员提供同样的接入点,Cobalt Strike很好的做到了这一点。因此Cobalt Strike作为一款协同APT工具,针对内网的渗透测试和作为APT的终端控制功能,使其变成众多APT组织的首选工具。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课