欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

技术剖析:海莲花(OceanLotus)根本不是APT,它只是一个普通木马

来源:本站整理 作者:佚名 时间:2015-06-03 TAG: 我要投稿

上周360发布了一篇关于名为"海莲花"的分析报告,当时觉得碉堡了。然后我就很好奇——"海莲花"和"蓝莲花"啥关系,许巍干的?
当看到29个省和36个国家都被感染后,第一反应是想一下中国有几个省。看了一下评论,感觉褒贬不一。隐约觉得和以往比较复杂的APT相比"海莲花"简直微不足道。
已经公布出来的攻击事件震网、duqu以及最近的"方程式"远远比"海莲花"复杂。
值得吐槽的是"Tester","Encryptor","Cloudrunner","MAC"这几个名字。我猜命名者肯定英语也就是"Are you ok?"的水平——年初的"方程式(Equation)"中有几个命名: Equation Laser、Equation Drug、Double Fantasy、Triple Fantasy、Fanny 和GrayFish,哪个听起来不是高大上? 说的有点远.……
技术剖析“海莲花”
周一上午在VT上找到了360报告中给出的文件哈希(有两个)。很神奇的是:这两个文件其中一个在今年2月2号和5月30号被提交过,另一个则在今年3月25号和6月1号提交过。
这两个文件的MD5分别是:
41bced8c65c5822d43cadad7d1dc49fd(NetcaEKeyClient.exe,360报Trojan.Generic).
0529B1D393F405BC2B2B33709DD57153(rtx.exe,360报Win32/Trojan.e08)(链接参看尾部).
简单的分析了一下发现有如下行为:
(1) 将自身拷贝到临时目录,并且以参数"–ping 原始文件路径  随机字符串"的形式启动这个临时文件。其中随机字符串大概是计算机和随机数的组合(没细看). 参数的意义仅仅是判断当前进程是否在临时目录中。
(2)在临时目录中启动的文件会有查找资源行为,有反虚拟机的行为(Vmware,virtualPC),有遍历进程终止特定进程的行为等。
这两个文件代码基本上一样,时间戳不一样。我在它们中发现了一个字符串 {03007495-09bb-4334-987a-ae7586bca024},然后在google中搜索了一下。让我很诧异:搜索结果全部来自于totalhash.com,显示有大约有440个结果。
截图如下(后附链接):
 

随便点开一个,在行为描述里找到如下内容:
  

和我分析的那个差别是"–ping"变成了"–help".它的版本显示的是winword.exe,事实上它就是一个伪装成word的程序。
扫描结果显示如下:

然后我下载了几个样本比较了一下,发现基本上没有差别。于是我开始怀疑这应该是有一个"生成器".我和我的小伙伴试图去找这个"生成器",但是没有成功。
晚上的时候,小伙伴根据关键字"sidebar.exe"和"sidebar.job"找到一个名字为www.shanghai.gov.cn的网站,里面关于后门Backdoor.Salgorea的介绍引起了我们的注意:它创建一个部分修改的自身文件到一个临时文件夹,并以参数“–help”运行.然后我们找到了赛门铁克关于Backdoor.Salgorea的介绍,确定了那篇报告来自于赛门铁克。报告中提到发现日期为2013年3月17号。
我们这个时候开始推断360给哈希的样本有可能是Backdoor.Salgorea的变种。
接着我们在totalhash.com上搜索了Backdoor.Salgorea,共有91个样本。我下载了一个文件MD5为:aee59100cad266050ba816714551a6ad的文件。这个文件在virusTotal上赛门铁克报:Backdoor.Salgorea.360报:Malware.QVM10.Gen(应该为老版本QVM).
然后和MD5为41bced8c65c5822d43cadad7d1dc49fd的文件做了比较发现代码逻辑一致:
其中aee59100cad266050ba816714551a6ad的启动参数如下:

41bced8c65c5822d43cadad7d1dc49fd的启动参数如下:

临时目录中的文件启动后开始执行处的代码完全一样.
aee59100cad266050ba816714551a6ad为:

41bced8c65c5822d43cadad7d1dc49fd 为:
                  

                                          
反虚拟机部分代码如下:
aee59100cad266050ba816714551a6ad代码:

      

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载