-
-
[原创] APT32组织样本分析
-
发表于:
2022-3-12 01:22
13877
-
OceanLotus(海莲花)APT组织是一个长期针对中国及其他东亚、东南亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织,该组织也是针对中国境内的最活跃的APT组织之一,该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料,通过追踪它这些年的攻击手法和攻击目标,OceanLotus很有可能是具有国外政府支持背景的、高度组织化的、专业化的境外国家级黑客组织 初期的OceanLotus特种木马技术并不复杂,容易发现和查杀,2014年OceanLotus特种木马开始采用包括文件伪装、随机加密和自我销毁等一系列复杂的攻击技术与安全软件进行对抗,随后OceanLotus特种木马又开始转向云控技术,攻击的危险性、不确定性与木马识别查杀的难度都大大增强 OceanLotus(海莲花) APT组织擅长使用鱼叉攻击和水坑攻击,NSA武器库曝光后,还使用了永恒系列漏洞进行攻击,投递的攻击武器种类比较多,RTA包括:Denis、CobaltStrike、PHOREAL、salgorea、类gh0st、Ratsnif等
样本通过释放带数字签名的WINWORD.EXE程序侧加载(白加黑)“wwlib.dll”恶意DLL文件,“wwwlib.dll”执行后会解密自身携带的数据并释放诱饵白文档,然后通过解密后执行下载器Shellcode,最后通过HTTP请求下载CobaltStrike Beacon。

将样本解压后

运行WINWORD.EXE会加载wwwlib.dll

样本使用大量混淆以及多层加密,动过动态调试可解密部分代码
侧加载 “wwwlib.dll”,并将诱饵文档释放到“%TEMP%”目录

打开生成的诱饵文档

index.dat保存了cookie、历史记录,记录着通过浏览器访问过的网址、访问时间、历史记录等信息。

通过CryptDecrypt解密ShellCode

Shellcode代码主要功能是实现下载Payload,也就是通过URL“9f2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6N6h3#2E0k6i4u0W2N6X3g2F1N6q4)9J5k6i4N6W2j5X3S2G2M7q4)9J5k6h3&6W2N6q4)9J5c8W2y4x3k6q4W2Q4c8e0u0Q4z5o6m8Q4z5f1c8Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8e0S2Q4b7V1c8Q4b7V1c8o6L8$3u0S2L8s2b7`. Strike生成的Beacon


Cobalt Strike是一款以metasploit为基础的GUI的框架式渗透工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,winexe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。
Cobalt Strike主要用于团队作战,可以说是内网渗透中的团队渗透神器,CobaltStrike能够让多个攻击者同时连接到团队服务器上,共享攻击资源与目标信心和Session。要知道众人拾柴火焰高的道理,当我们发现一个内网控制点后,为了使我们的攻击收益最大化,最好的办法就是跟团队共享资源,给其他成员提供同样的接入点,Cobalt Strike很好的做到了这一点。因此Cobalt Strike作为一款协同APT工具,针对内网的渗透测试和作为APT的终端控制功能,使其变成众多APT组织的首选工具。
[注意]看雪招聘,专注安全领域的专业人才平台!