contour
Les jours CERT (recherche sur la sécurité et le Centre d'intervention d'urgence) en Décembre 2018 ce jour, la capture de nombreux cas d'attaques contre les utilisateurs chinois échantillons malveillants document macro. Ces fichiers malveillants déguisés en brouillant l'arrière-plan sur le texte d'un résultat de test de sécurité des logiciels antivirus, pour induire les victimes pour permettre le code malicieux de macro à un lui-même injecte processus Word en shellcode, enfin déchiffré en mémoire et exécuter la porte dérobée. Selon une analyse en profondeur de la porte arrière, nous avons constaté que les échantillons de la mer Lotus organisation.
Un rapport analytique sur le jour de la sortie de l'organisation le 27 mai 2015 a causé préoccupation constante dans l'industrie pour l'organisation. Compte tenu de la journée de la sécurité au moment capturé l'attaque, a trouvé l'attaquant a utilisé une plate-forme d'attaque commerciale Cobalt Strike, Les jours désignés comme APT-TOCS (plate-forme à savoir l'aide de tissus attaques APT CS), mais à cause de l'utilisation de CS, mais l'attaque une caractéristique de l'organisation, et le manque de nature géopolitique d'une organisation nommée, nous avons donc adopté les amis du suivi de 360 noms - « mer Lotus. »
L'échantillon a été trouvé à Décembre 2018 ESET exposition par la porte arrière de la mer dédiée Lotus sont très similaires, mais par la porte arrière des associés échantillon C2, nous avons trouvé plus d'échantillons répartis programme auto-extractible malveillant par la porte arrière. Une partie de l'échantillon pour la Chine, plus des échantillons pour plusieurs pays du Cambodge. Une partie des échantillons d'auto-extraction de la porte arrière de la propagation, la C2 est directement relié à une infrastructure de réseau connu Sea Lotus organisation.
D'après la forte association de porte dérobée dédiée et l'infrastructure réseau dans ces deux domaines, nous avons des raisons de croire que ces attaques échantillons associés à la mer que l'organisation Lotus APT.
Analyse d'échantillon
2.1 Exemple d'étiquettes
Les attaques sont liées à charger des documents Word, mais ne pas utiliser les failles. Mais intégrer le code macro malveillant, code de macro pour déclencher suivi par un comportement malveillant, et, finalement, porte dérobée à l'hôte cible, puisque c'est une étape de façon plus populaire. Afin de permettre à l'attaquant aux victimes de code cible macro, induite par certains utilisateurs trompeurs contenus dans le corps du document, cliquez sur « Activer le contenu » pour déclencher l'exécution de code malicieux de macro, nous listons deux des informations sur les étiquettes de ces échantillons:
Tableau 2-1 Document malveillant 1
virus Nom Trojan / Win32.VB.dropper Le nom du fichier d'origine 2018 résumé Société rapport des recommandations supplémentaires .doc Taille du fichier 2.03 MB (2,127,360 octets) Format de fichier Document / Microsoft.Word établi 26/12/201803:53:00 dernière modification 26/12/201803:53:00 nom d'hôte de création de documents admin code page Latin I VT Première mise à jour 07/03/201904:44:06 les résultats de la détection VT 10/55 Tableau 2-2 Document malveillant 2
virus Nom Trojan / Win32.VB.dropper Taille du fichier 2,94 MB (3,083,776 octets) Format de fichier Document / Microsoft.Word établi 24/01/201902:39:00 dernière modification 24/01/201902:39:00 nom d'hôte de création de documents admin code page Latin I VT Première mise à jour 08/03/201906:47:27 les résultats de la détection VT 10/59 2.2 Analyse technique
Documents connexes exemple utilise des techniques d'ingénierie sociale, le camouflage d'un soft kill 360 résultats des tests de sécurité, induisent les victimes ont permis est venu avec des macros malveillantes, le contenu du texte illustré à la figure 2-1, la figure 2-2.
Figure 2-1 Document malveillant 1 Capture d'écran Figure 2-2 Document malveillant 2 Capture d'écranMalicious inclus dans l'exemple de script vb confus, après de-obscurcissement trouvé ce rôle de script est de:
1. Copiez le fichier dans le fichier en cours dans le dossier% temp%.
2. Obtenir et décrypter le second script, en essayant d'écrire dans le registre ( "HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ 14.0 \ Word \ Security \ AccessVBOM"). Cette valeur de Registre est 1, le module permet vb documents accessibles et modifiés, comme indiqué ci-dessous:
Figure 2-3 lire et modifier le Registre3. Ouvrez le document à% temp% copié, le document est supprimé vb module existant, l'écriture d'un nouveau module (figure 2-4).:
Figure 2-4 Modifier les fichiers copiés4. Ouvrez le document a été copié vb module d'appel fonction "x_N0th1ngH3r3" comme indiqué ci-dessous, puis, afficher un faux message Document malveillant, figure 2-5, la figure 2-6..:
L'appel de fonction de la figure 5.2 Figure 2-6 fausses nouvelles montrentDeuxième scénario a beaucoup de similitudes avec le premier paragraphe du script, le script pour déchiffrer le troisième paragraphe, puis en réglant le registre, la capacité d'obtenir leurs propres ressources Vb modifier et ajouter des scripts troisième paragraphe dans le document lui-même:
Figure 2-7 secondes fonctions principales de script (script a anti-aliasing)Troisième paragraphe du script pour déchiffrer le shellcode, et injecté dans le processus winword.exe. fonctions de saisie de script sont encore désignés comme « x_N0th1ngH3r3 », pour distinguer cette fonction traite 64 bits ou 32 bits, l'implantation appropriée procédés manière:
Figure 2-864 d'injection de processus préparatoire Figure 2-932 d'injection de processus préparatoireprocessus d'injection de code a 908 Ko (929,792 octets), après la porte dérobée a été en Décembre 2018 a été exposée ESET, la mer développé une analyse en profondeur, ce code injecté guidera la porte dérobée de l'exécution finale, en utilisant les organisations Lotus .
Le nom original pour la porte dérobée "{A96B020F-0000-466F-A96D-A91BBF8EAC96} .dll", voir ci-dessous:
Figure 2-10 porte dérobée information dans la mémoireTout d'abord, la porte arrière est initialisé, la section des ressources RCData chargée en mémoire, les données de configuration décryptées et fichiers de bibliothèque:
les données de chiffrement RC4 figure contenues dans la section des ressources 2-11 porte dérobéeDécrypter le contenu des données:
Figure 2-12 données de configuration décryptées dans la mémoire et les fichiers de bibliothèqueFigure 2-12 de haut en bas afin de contenu au nom de:
1. emplacement de Registre:
HKEY_CURRENT_USER \ Software \ App \ AppX70162486c7554f7f80f481985d67586d \ Application HKEY_CURRENT_USER \ Software \ App \ AppX70162486c7554f7f80f481985d67586d \ DefaultIconCes deux clés de registre stockées porte arrière C2 retour à l'hôte victime UUID unique, comme l'ID de session, la mise en service d'un exemple concret: 32034d33-AECC-47d4-9dcd-f0e56063087f.
2.httpprov bibliothèques, support pour HTTP / HTTPS / SOCKS moyen de communiquer avec C2 et libcurl liés statiquement.
Une fois l'initialisation terminée, démarrez la porte arrière via la méthode HTTP POST, suivie par la communication C2 et C2 liste disponible. communication User Agent HTTP est: Mozilla / 4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident / 4.0).
Figure 2-13 communication de porte dérobée C2 hardcoded User Agent3. La porte arrière va générer une empreinte digitale pour l'hôte de la victime, il prend en charge les caractéristiques comprennent: les opérations de traitement, les opérations de registre, l'accès aux informations sur le disque dur, les opérations de fichiers locaux, la libération et la mise en uvre du programme, l'implantation de la mémoire, avec la version précédente sans grande exposition d'ESET variation . Représenté, cas 0 × 1 fichiers de déplacement, cas 0 × 3 des informations sur le disque dur acquise dans la figure suivante, dans le cas 0,2,4,5 comprenant en outre: fichier 0xe traversal, supprimer le fichier 0xF, 0 × 12 créer un dossier, 0 × 13 dossiers de suppression.
branches d'instruction figure porte arrière 2-14La capture d'échantillons de lotus de la mer que dans le passé a été dans la technologie améliorée dans une certaine mesure, l'utilisation du code macro injection shellcode, qui a mis toute la charge des fichiers sans étage, vous pouvez voir la mer des organisations Lotus toujours mettre à jour activement leurs méthodes d'attaque, en essayant de pour se rendre intrigue plus subtile et donc plus permanente qui se cache dans la machine de la victime.
Troisièmement, l'analyse de corrélation
Dans l'analyse de la détermination ne porte dérobée C2 IP: .. 45,122 *** ***, nous avons pris note de l'IP comme Adobe Reader masquerading a été auto-extractible principal malveillant « AcroRd32.exe » comme la connexion C2:
Figure 3-1 C2 associée à la porte arrière de l'auto-extractibleCe fichier auto-extractible RAR upload nommé « Li Xiang (CV) .exe », dernière modification 1 plus étroite avec une icône de document malveillant déguisé en AdobeReader. Après avoir exécuté la commande « regsvr32 » brigué contrôle malveillant, puis ouvrez les conseils chiffrés des documents PDF chinois, parce que le mot de passe actuel n'est pas acquis, ne connaissant pas le contenu du texte, mais il semble que le document PDF n'est pas un acte malveillant.
Figure 3-2 C2 lié aux échantillons auto-extractibles de la Chine attaque 2018 en DécembreNous avons trouvé l'association à travers l'échantillon dans le temps plus tôt, en utilisant les mêmes tactiques pour attaquer le Cambodge et d'autres pays échantillons auto-extractibles:
Figure 3-3 juillet 2018 échantillons de la même tactique pour attaquer le Vietnam Figure 3-4 Août 2018 la même plate-forme ainsi VirusTotal à travers le Cambodge télécharger un échantillon de page Web malveillant Figure 3-5 Janvier 2019 de la même manière échantillon cible inconnueActuellement dans tous les échantillons d'auto-extractibles pertinentes, leurs icônes sont déguisées en Adobe Reader, bureau et des images, le nom du fichier sera déguisé dans le cadre de l'échantillon, par exemple: « AcroRd32.exe », « Excel.exe », « WinWord.exe » et ainsi de suite:
Figure 3-6 icône échantillons auto-extractible déguiséesIls contiennent des images et des documents Word sont également fichier normal, est à la charge après les victimes de distraction malveillants d'exécution réussie.
Tous les auto-extractible échantillon de contrôle OCX malveillant contenu rôle est déchiffré et appeler la porte arrière ultime dans la mémoire de tous les échantillons de porte arrière sera extrait du code de la section 2 porte dérobée documents malveillants publié et a trouvé à la fois à l'autre très cohérente, essentiellement confirmé avoir la même origine. Une partie de la porte arrière de C2 est relié à une infrastructure de réseau connu Lotus Sea Organization: 154,16 *** *** IP ont été un certain nombre de sécurité fournisseurs multiples expositions , comme l'organisation de lotus de la mer d'entretien à long terme et l'utilisation. .
résumé
Par cette analyse, la récente organisation de lotus de la mer reste active. Son attaque contre la Chine et les pays d'Asie du Sud-Est utilisateurs en servant document illicite avec des macros et des auto-extractible éventuellement se propager porte arrière privée de l'organisation de lotus de la mer pour atteindre un objectif de contrôle à long terme et le vol d'informations. analyse des caractéristiques de la porte arrière des armes et de l'infrastructure de réseau utilisé (dont certains sont directement reliés à la porte arrière sur le tissu de lotus de la mer d'infrastructure réseau connue), il semble que ces échantillons peuvent attaquer de la mer organisation Lotus.
Comme nous l'avons déjà dans le « 2018 Rapport menaces réseau (pré-publication), » fait remarquer, le courant « à travers l'analyse de l'exposition à la force des attaques APT convergence de comportement organisationnel » effet a été considérablement réduit, les parties concernées ont été exposés à attaquer l'adresse de l'infrastructure C2 toujours continuer à l'utiliser est un exemple évident. Cet aspect nous permet de donner simple Qiaoshanzhenhu, nous pouvons laisser l'ennemi tremblent fantaisie, d'autre part, ajoute également la capacité de généralisation des acteurs avancés de la menace, la face exposée du comportement agressif, prévoir une enquête plus approfondie et une analyse de la chasse des possibilités et conditions.
Le système produit de jour par recherche à long terme et le développement indépendant de AVL SDK « moteur anti-virus de la prochaine génération » pour obtenir une identification format et la profondeur de l'analyse, désassembler document composé, l'extraction macro, la sagesse Un système de défense terminale mis en place sur le côté hôte de la pluralité de points de défense la détection et l'interception, dans le système de détection des menaces de la mer pour atteindre un comportement agressif dans le côté de détection du trafic, la charge détermination du détecteur de capture, tous les aspects du fichier peuvent être trouvés inconnus liés chassant les ombres Sandbox pour l'analyse, les règles de sortie du renseignement de menace, d'avoir un meilleur déploiement lorsque la gestion du système de réseau, afin de mieux faire face à des niveaux similaires de risque d'attaque. Le jour des produits existants, les clients peuvent souscrire au « paquet avec effet rétroactif avancée des menaces » pour une enquête plus approfondie rétroactive des risques. Toutefois, si un niveau plus élevé de réponse à l'attaque, est en outre nécessaire pour exécuter le combat réel plate-forme de connaissance de la situation tactique des allégations de contrôle au niveau mondial de l'ennemi, la réponse coordonnée.
Annexe I: Références
Les jours: un cas pour l'échantillon quasi-attaque APT agences chinoises dans l'utilisation de l'analyse
https://www.antiy.com/response/APT-TOCS.html
ESET: techniques OceanLotus anciennes, nouvelle porte dérobée
https://www.welivesecurity.com/wp-content/uploads/2018/03/ESET_OceanLotus.pdf
soupçonné organisation « Sea Lotus » des premières attaques contre l'analyse des collèges et des universités nationales
https://ti.360.net/blog/articles/oceanlotus-targets-chinese-university/
* L'auteur: antiylab, tiré à part FreeBuf.COM