欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

海莲花APT团伙利用CVE-2017-8570漏洞的新样本及关联分析

来源:本站整理 作者:佚名 时间:2018-04-26 TAG: 我要投稿

海莲花(OceanLotus)APT团伙是一个高度组织化的、专业化的境外国家级黑客组织,其最早由360天眼实验室发现并披露。该组织至少自2012年4月起便针对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。
近日,360威胁情报中心捕获到了一个该团伙最新的攻击样本,分析显示其使用了微软Office相关漏洞进行恶意代码投递,在对样本进行了详细分析,并对相关的通信基础设施进行关联拓展后,我们发现了一批新的样本和域名/IP,基于这些信息,我们最终将提供一些360威胁情报中心视野内的信息来构成更大的拼图。
样本分析
MD5:72bebba3542bd86dc68a36fda5dbae76
文件名:MonthlyReport 03.2018.doc
该样本是一个RTF文档,其使用OfficeCVE-2017-8570漏洞触发执行VBS脚本,脚本进一步解密执行DLL文件以及ShellCode,ShellCode最终会解密出木马主控模块并实现内存加载执行。
CVE-2017-8570
RTF文档中内嵌了三个Package对象,分别对应VXO53WRTNO.000、fonts.vbs和3N79JI0QRZHGYFP.sct:

以及一个包含了CVE-2017-8570漏洞的OLE2Link对象,去混淆后如下:

其中Package对象中包含了文件原始路径信息:C:\Users\HNHRMC\AppData\Local\Temp\VXO53WRTNO.000

漏洞触发后启动3N79JI0QRZHGYFP.sct,该脚本的作用是通过CMD.EXE执行fonts.vbs脚本:

fonts.vbs
fonts.vbs文件实际上充当了Loader的功能,当fonts.vbs被执行时,首先会将Temp目录下的VXO53WRTNO.000的内容读取到内存中,然后通过Base64解码后再通过AES解密得到ShellCode。最后将自身的硬编码的Load_dll以同样的方式解密出来,并动态加载Load_dll,并实例化其中的sHElla对象,最终通过调用sHElla.forebodinG(shellcode)方法将ShellCode执行起来:

 

Load_dll
Load_dll中的forebodinG方法的功能就是把接收到的ShellCode,拷贝到一个新分配的内存中,并将内存地址转换成对应的委托进行调用执行:

 

ShellCode
ShellCode部分的功能是从自身中提取出一个PE文件,再将该PE文件加载到内存执行。该PE文件的导出名为:{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll,下图为修正后的PE头数据:

Dump的DLL文件的导出名信息:

{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
解密出的DLL的资源中有一个加密的资源文件:

该DLL运行时,首先获取该资源文件,进行RC4解密:

解密后的资源文件中包含了木马配置信息和3个网络通信相关的DLL文件,网络通信相关文件用于支持HTTP、HTTPS和UDP协议通信。下图为解密后的资源文件信息:

经过分析,配置文件的相关数据结构如下:

紧接着该DLL会在内存中加载资源文件中解密后的三个网络相关的DLL,然后获取本机信息并经过编码后与icmannaws.com、orinneamoure.com、ochefort.com这三个域名进行组合形成一个二级域名用于网络通信,最终接受控制端指令实现如下远控功能:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载