|
ปลอมไม่ก็ปลอม: สืบหาเหยื่อล่อ OceanLotus | ||||||||||||||||||||||||||||||||||||||||||
บทความนี้จะขยายความในก่อนตวาดกลุ่ม OceanLotus (หรือที่รู้จักกันในชื่อ APT32 ด้วยกัน APT-C-00) ใช้ช่องโหว่ช่องโหว่หน่วยความจำเสียหายใน CVE-2017-11882 เมื่อเร็ว ๆ นี้ซอฟต์แวร์และกระบวนการที่มัลแวร์ OceanLotus ประสบผลสำเร็จในการคงอยู่สิ่งของระบบแห่งถูกรุกรานโดยไม่ทิ้งร่องรอยไหน ๆจากนั้นบทความอธิบายดุตั้งแต่ต้นปี 2562 พวกได้นำไปใช้จากคลังข้อมูลแบบขยายตัวเองเพื่อที่จะเรียกใช้โค้ด |บริบทบริบท |พละติดตาม OceanLotus19;กิจกรรมคือการการเดินทางในพื้นแผ่นดินแห่งการลวงลวงหมู่นี้เป็นที่รู้จักห้ามดีที่การล่อเหยื่อโดยการปลอมเนรมิตเอกสารที่น่าดึงดูดความสนใจเพื่อล่อเหยื่อแห่งอาจบังเกิดให้กระทำลับๆกลุ่มที่ 19 กับหาไอเดียใหม่ ๆ เพื่อขจรขจายชุดเครื่องมือของตัวเทคนิคแห่งหนใช้แห่งการล่อนั้นมีตั้งแต่ไฟล์ที่เรียกหาว่า double extension, งานแตกแฟ้มข้อมูลในร่างกายและแฟ้มข้อมูลที่ถกใช้งานมาโครไปจวบจนถึงการชดใช้ช่องโหว่ที่รู้จักมักจี่กันนวชาตยิ่งไปกว่านั้นพวกเขากระตือรือร้นยิ่งนักและยังคงบุกโจมตีเหยื่อผู้เคราะห์ร้ายที่เขาทั้งหลายชื่นชอบซึ่งดำรงฐานะประเทศแห่งเอเชียตะวันออกเฉียงใต้ |สรุปการใช้ประโยชน์ขนมจากเครื่องมือแก้ปัญหาสมการ|ในกลางปี ??2018OceanLotus กระทำรณรงค์โดยใช้เอกสารแห่งหนละเมิดข้อด้อยที่ประเจิดประเจ้อโดยช่องโหว่ CVE-2017-11882ที่แท้มีการสอบสวนถึงแนวคิดหลายชนิดช่องโหว่นี้อยู่ในชิ้นส่วนที่รับผิดชอบที่การสร้างและเยียวยาสมการทางเลขหนึ่งในเอกสารแห่งหนเป็นอันตรายแห่งใช้เพราะว่า OceanLotus ถูกวิเคราะห์โดย 360 Threat Intelligence Center (ภาษาจีน) ด้วยกันมีเรื่องเบ็ดเตล็ดเกี่ยวกับงานหาประโยชน์เผชิญดูที่งานพิมพ์ที่ละม้ายกัน |ขั้นตอนแรก|เอกสารนี้ FW รายงานการสาธิตของอดีต CNRP แห่งสาธารณรัฐเกาหลีมันสมองdoc ( SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3 ) มีรูปร่างคล้ายกับ CNRP ในสาธารณรัฐประเทศเกาหลีหนึ่งแห่งกล่าวถึงที่บทความข้างต้นและน่าสนใจเพราะว่ามันเป็นเป้าหมายของผู้คนสถานที่สนใจการบ้านการเมืองกัมพูชา (CNRP 13; ก๊กกู้ภัยแห่งชาติกัมพูชา 13; พรรคการเมืองถูกยุบในปลายปี 2560)แม้จักมีนามสกุล. doc สิ่งพิมพ์จริง ๆ แล้วในแนวทาง RTF (ดูตัวที่ 1) ประกอบด้วยกลุ่มขยะจำนวนมากกับยังประกอบด้วยรูปแบบที่ไม่เที่ยงตรง |รูปสถานที่ 1 14; ช่องเก็บขยะ RTF ขนาดที่จะประกอบด้วยองค์ประกอบที่มีรูปแบบไม่แน่นอน Word ก็สามารถยกขึ้นไฟล์ RTF นี้ได้เกิดผลดังที่เหลือบเห็นใน (ร่างกายที่ 2) แห่ง offset 0xC00 ที่มี EQNOLEFILEHDRโครงสร้างติดสอยห้อยตามด้วยท่อนหัว MTEF และจากนั้นบันทึก MTEF (รูปที่ 3) เพราะแบบตัวหนังสือ |รูปแห่ง 2 14;ค่าระเบียน FONT ทัวร์กัมพูชาล้นในที่ฟิลด์ ชื่อเสียงเรียงนาม เป็นไปได้ตามที่ขนาดของมันคือว่า 19 ไม่ได้ตรวจสอบก่อนที่จะจดชื่อสถานที่ยาวเกินควรจะทำให้เกิดช่องโหว่ตามที่เห็นในที่เนื้อหาแฟ้มข้อมูล RTF (ชดเชย 0xC26 ที่รูปแห่ง 2) บัฟเฟอร์เต็มไปด้วย shellcode ตามเช่นกันการขยับที่ NOP (0x90) และที่อยู่ผู้ส่ง 0x402114 ที่อยู่นั้นเป็นอุปกรณ์ใน EQNEDT32.exe ชี้ให้เห็นไปแห่งหนคำสั่ง RET ผลสรุปนี้ในที่ EIP ชี้จรที่จุดเริ่มแรกของฟิลด์ ชื่อ ซึ่งประกอบด้วยเชลล์โค้ด |รูปที่ 4 14; ริเริ่มการทำงานสรรพสิ่ง shellcode ที่อยู่ 0x45BD3C จัดเก็บตัวแปรที่ไม่ผิดยกเลิกการอ้างอิงกระทั่งจะจรดตัวบ่งบอกไปอีกทั้งโครงสร้าง MTEFData ที่โหลดอยู่ณปัจจุบันนั่นคือแห่งที่ฝาหอยส่วนที่เหลืออยู่ |จุดประสงค์ของ shellcode คือการดำเนินการ shellcode ชิ้นที่สองซึ่งซุกอยู่ในเอกสารที่เปิดอยู่ก่อนอื่น shellcode เริ่มต้นอุตสาหะค้นหาเลขลำดับอ้างอิงสรรพสิ่งไฟล์สิ่งพิมพ์ที่ดึงขึ้นอยู่เพราะว่าวนย้ำที่ดวงจับสรรพสิ่ง system19 ทั้งหมด ( NtQuerySystemInformation เช่นกันอาร์กิวเมนต์ SystemExtendedHandleInformation ); s PID ตรงกับดัก PID ของกระบวนการ WinWord และถ้าหากเอกสารถูกเปิดด้วยมาสก์การเข้าถึงตั้งแต่นี้ไป: 0x12019F .เพื่อที่จะยืนยันว่าพบเลขอ้างอิงแห่งถูกต้องหามิได้หมายเลขอ้างอิงของสิ่งพิมพ์เปิดอื่นจุดสำคัญของแฟ้มข้อมูลจะถูกแมปด้วยฟังก์ชัน CreateFileMapping กับ shellcode ตรวจสอบดุสี่ไบต์บ๊วยของเอกสารเป็น 1C หรือเปล่าspan> yyyy 1C; เทคนิคนี้มีชื่อดุ 1C; Egg Hunting1D;เมื่อผ่านพบการเข้าคู่เอกสารจักถูกหมายไว้ไปอีกทั้งโฟลเดอร์ชั่วคราว ( GetTempPath ) ครอบครอง ole.dll แล้ว 12 ไบต์สุดท้ายสรรพสิ่งเอกสารจักถูกอ่าน |ร่างกายที่ 5 14 ธวัชที่ตอนหลังเอกสาร ค่า 32- บิตระหว่าง AABBCCDD และ yyyy เครื่องหมายประสบความสำเร็จชดเชยมอบกับ shellcode ต่อไปมันถูกเรียกใช้โดยใช้ CreateThread ฟังก์ชั่น shellcode ที่แตกออกมานั้นเหมือนกับที่หมวด OceanLotus ใช้มาระยะหนึ่งแล้วสคริปต์ Python emulator แห่งหนเราโหมโรงในเดือนมีนาคม 2018 ยังคงดำเนินการเพื่อทิ้งขั้นตอนต่อไป |ขั้นตอนที่สอง|งานแยกส่วนประกอบ|ชื่อเสียงเรียงนามไฟล์และไดเรกทอรีจะถูกเลือกต้นฉบับไดนามิมือหัสสุ่มเลือกคัดชื่อไฟล์ของไฟล์เรียกปฏิบัติการหรือไฟล์ DLL ที่อยู่ใน C: Windows system32 จากนั้นจะทำการสืบค้นทรัพยากรด้วยกันแยกฟิลด์ FileDescription เพื่อใช้เป็นชื่อโฟลเดอร์หากวิธีนี้ใช้ไม่ได้รหัสจะสุ่มตัวอย่างเลือกชื่อโฟลเดอร์ขนมจากไดเรกทอเรียว % ProgramFiles% หรือ C: Windows (จาก GetWindowsDirectoryW)มันหลีกเลี่ยงการใช้ชื่อที่อาจขัดแย้งกับไฟล์ที่มีสิงสู่โดยทำให้รู้แก่ใจว่าไม่มี: windows, Microsoft, เดสก์ท็อป, กระบิล, system32 หรือ syswow64 หากไดเยุ่งทอรีตรงนั้นมีอยู่ต่อจากนั้นชื่อไดเรกกรองรีจะถูกต่อท้ายด้วย 1C; NLS_ 6 หลักเขต 1D ;. |ทรัพยากรขั้นตอนสถานที่ 19 ของ 0x102 จะไม่ผิดแยกวิเคราะห์กับไฟล์จะไม่ผิดทิ้งใน % ProgramFiles% หรือไม่ก็ % AppData% ในโฟลเดอร์ที่เลือกเฟ้นแบบสุ่มยุคในการก่อสร้างจะเปลี่ยนเป็นคุณค่าเดียวกันกับ kernel32.dll |ตัวอย่างนี่ลงความว่าโฟลเดอร์และรายการไฟล์ที่สร้างเพราะการเลือก C: Windows system32 TCPSVCS.exe ปฏิบัติการเป็นอู่ของข้อมูล |รูปสถานที่ 6 14;ส่วนประกอบที่แตกต่างกัน โครงสร้างของทรัพยากร 0x102 ในหยดมีความซับซ้อนค่อนข้างโดยย่อประกอบด้วย: |
ไฟล์แต่ต้นจะเช็ดถูกดคอยปเป็น TCPSVCSมันสมองexe ซึ่งจริงๆหลังจากนั้นคือ Adobe19; AcroTranscoder.exe ที่ถูกต้องตามกฎหมาย (ตาม FileDescription ของ SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3 ได้สังเกตเห็นว่าขนาดไฟล์ของ DLLs บางชิ้นเกิน 11MBนี่เป็นก็เพราะว่าบัฟเฟอร์ขนาดใหญ่ที่ไม่ว่างเว้นกันของข้อมูลต้นร่างสุ่มถูกวางไว้ภายในแฟ้มเรียกดำเนินการอาจครอบครองวิธีเอ็ดในการหลบเลี่ยงเลี่ยงการตรวจจับโดยผลิตภัณฑ์ความปลอดภัยบางตัว |บรรลุความคงอยู่|ทรัพยากร 0x101 ของหยาดน้ำมีเลขจำนวนเต็ม 32 บิตสองตัวแห่งหนกำหนดว่าควรปฏิบัติการเก็บรักษาอย่างไรค่าของคนจำเดิมระบุตวาดมัลแวร์จะได้มาการหลงเหลืออยู่โดยพ้นไปสิทธิ์ผู้ดูแลระบบ
ค่าของจำนวนเต็มร่างกายที่สองระบุวิธีแห่งมัลแวร์ควรพากเพียรที่จะคงอยู่ผิมันทำด้วยสิทธิระดับสูง
ชื่อบริการตกว่าชื่อเสียงเรียงนามแฟ้มข้อมูลสถานที่ปราศจากนามสกุลชื่อแห่งหนจัดโชว์ดำรงฐานะชื่อโฟลเดอร์ แต่ว่าถ้าประกอบด้วยสิงสู่ต่อจากนั้นสตริง 1C; สาวที่ 1 1D;ถูกห้อยท้าย (หมายเลขจักเพิ่มพูนจนกระทั่งจะพบชื่อเสียงเรียงนามแห่งหนไม่ไหวชดใช้)ผู้ดำเนินการเป็นเหตุให้รู้แก่ใจว่าการตกค้างเปลี่ยนบริการจักผ่อนปรน: พอบริการพังทลายบริการน่าเริ่มต้นใหม่ภายหลัง 1 วินาทีต่อจากนั้นคุณค่าเรียวจิสทเรียว WOW64 สิ่งของแป้นอักษรบริการใหม่ไม่ผิดตั้งค่าครอบครอง 4 ซึ่งระบุว่า it19; sa บริการ 32 เลขฐานสอง | กิจธุระแห่งหนขีดคั่นระยะเวลาเก็บจะถูกสร้างขึ้นไปเปลี่ยนส่วนต่อประสาน COM เหลือแหล่ร่างกาย: ITaskScheduler
, ITask
, ITaskTrigger
, IPersistFile
กับ ITaskScheduler
เพราะว่ารากฐานจากนั้นมัลแวร์จักสร้างภารกิจเกราะกำบังอยู่ตั้งค่าประกาศบัญชีพร้อมด้วยผู้ใช้ช่วงปัจจุบันหรือไม่ก็ประกาศผู้ดูแลระเบียบและริเริ่มตั้งขึ้นคุณประโยชน์ทริกเกอร์ เลขฐานสองแห่งหนเป็นอันตราย|ในที่ตัวอย่างสรรพสิ่งฉันแฟ้มข้อมูลจัดการ TCPSVCSมันสมองexe ( AcroTranscoder.exe ) เป็นซอฟต์แวร์แห่งถูกต้องตามกฎหมายโหลด DLLs แห่งหนไม่ผิดทิ้งวางกับมันในกรณีนี้ Flash Video Extension.dll ครอบครองสิ่งแห่งน่ารู้ |ฟังก์ชั่น DLLMain พางเรียกหาชดใช้ฟังก์ชันข้างเดียวมีโปร่งท้องถิ่นแห่งหนทึบแสง: |ร่างกายแห่ง 7 14; คำกริยาทึบแสง ภายหลังการหลอกต้มเหล่านี้การตรวจรหัสจักถือสิทธิ์ซีก มันสมองtext สรรพสิ่ง TCPSVCSมันสมองexe เปลี่ยนการกันเป็น PAGE_EXECUTE_READWRITE และผลัดเปลี่ยนเลี่ยนด้วยคำแนะนำแห่งไม่ต้องทำเช่นไรพ้นไม่มีผลเคียงข้าง: |ร่างกายแห่งหน 8 14;หลั่นสรรพสิ่งคำสั่งสถานที่ไม่เป็นผลใกล้เคียง ในที่สุดท้ายคำประกาศิต CALL ด้วยเหตุที่สิงสู่สิ่งของฟังก์ชัน FLVCore :: เลิกการกำคราวดค่าประเดิม (ถือเป็นโมฆะ) เพราะ ส่วนเพิ่มเติมวิดีโอ Flash ซึ่งบอกเรื่องว่าหลังจากโหลด DLL สถานที่เป็นโทษพอรันไทม์เรียกหา WinMain ณ TCPSVCSมันสมองexe เนื้อตัวบ่งบอกคำประกาศิตจักบ่งชี้เจียรแห่งหน 1C; NOP1D;เลื่อนที่ซึ่งสุดท้ายจักเรียก FLVCore :: Uninitialize (void) ซึ่งครอบครองกระบวนการถัดไป |ฟังก์ชันนี้จะสร้าง mutex สถานที่เริ่มต้นอีกด้วย 181C8480-A975-411C-AB0A-630DB8B0A221 และตามอีกด้วยชื่อผู้ใช้ยุคปัจจุบันแล้วจะอ่านแฟ้มแห่งถูกดร็อปอีกด้วย & # xA0; มันสมองdb3 & # xA0;ส่วนเพิ่มเติมซึ่งประกอบด้วยสัญลักษณ์แห่งหนเปล่าสังกัดตำแหน่งกับชดใช้ CreateThread เพื่อจะเรียกใช้เนื้อควานหา |เนื้อความของแฟ้มมันสมอง db3 ดำรงฐานะ shellcode แห่งใช้คืนเพราะว่า OceanLotusอีกครั้งดิฉันประสบผลณงานถลายบรรจุภัณฑ์เพราะว่าใช้คืนสคริปต์อีมูเลเโคนร์แห่งหนเราโฆษณาชวนเชื่อบนบานศาลกล่าว GitHub |สคริปต์จะแยกขั้นตอนสุดท้ายส่วนประกอบตรงนี้เป็นแบ็คดอร์ที่ดิฉันวิเคราะห์ไปแล้วในเอกสารทางเทคนิคนี้: OceanLotus: เทคนิคเก่า ๆ , แบ็คดอร์นวชาตเป็นที่รู้จักเช่นนี้จาก GUID A96B020F-0000-466F-A96D-A91BBF8EAC96 ที่มีอยู่ในที่ไบนารีการกำครั้งดค่ามัลแวร์ยังคงถูกเข้ารหัสในทรัพยากร PEมันมีการกำหนดค่าเฉียดเหมือนกัน แต่เซิร์ฟเวอร์ C & amp; C ตรงนั้นแตกต่างจากแห่งหนเผยแพร่แล้ว: |
ครั้นอีกครั้ง OceanLotus นำเสนองานผสมผสานที่เลิศของเทคนิคงานอยู่ใต้เรดาร์เขาทั้งหลายกลับมาพร้อมกับ 1C; better1D;เหน้าของกระบวนการติดโรคโดยการเลือกเฟ้นชื่อแบบสุ่มตัวอย่างและการเขียนเติมไฟล์ที่ปฏิบัติการได้ด้วยประกาศแบบสุ่มก๊กมันจะลดจำนวน IoCs ที่เชื่อถือได้ (ชดใช้แฮชและชื่อไฟล์ตาม)ยิ่งไปกว่านั้นด้วยเหตุที่พวกเขากำลังใช้การโหลดปีก DLL ผู้โจมตีจึงต้องวาง AcroTranscoder ไบนารีที่ถูกต้องตามกฎหมาย |คลังข้อมูลแห่งขยายตัวเองได้อย่างถูกต้องหลังจากใช้ไฟล์ RTF กลุ่มเริ่มใช้คืนคลังข้อมูลแบบขยายตัวเอง (SFX) แห่งใช้ไอคอนเอกสารทั่วไปเพื่อพยายามหลอกลวงผู้ที่ตกเป็นตัวรับเคราะห์เอกสารนี้ทำโดยย่อ Threatbook (ภาษาจีน)เมื่อรันแฟ้ม RAR แบบขยายตัวเองกลุ่มนี้จะปล่อยกับเรียกใช้แฟ้ม DLL (พร้อมด้วยนามสกุล. ocx) พร้อมเพย์โหลดขั้นสุดท้ายซึ่งดำรงฐานะ {A96B020F-0000-466F-A96D-A91BBF8EAC96 ที่ระบุวางในเอกสารก่อนหน้า .dll มันสมองตั้งแต่กลางเดือนมกราคม 2019 OceanLotus เริ่มนำเคล็ดลับนี้กลับใช้นวชาต แต่เปลี่ยนการกำหนดคุณประโยชน์บางอย่างเมื่อเวลาผ่านไปด้านนี้จะอธิบายจรดเทคนิคกับสิ่งที่พวกเขาเปลี่ยนแปลงเพื่อให้บรรลุเป้าหมาย |ตกหลุมรัก|เอกสาร THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1) .EXE (เป็น 1C; ความสัมพันธ์ที่ชื่นชอบสิ่งของ VIETNAMESE PERFORMANCE1D ครั้งแรกดังที่ Google แปลภาษา SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BABBไฟล์ SFX ถูกสร้างขึ้นอย่างชาญฉลาดดังที่คำอธิบาย ( ข้อมูลเวอร์ชัน ) เจาะจงว่า it19; sa 1C; JPEG Image1D;สคริปต์สรรพสิ่ง SFX มีดังต่อไปนี้: |รูปสถานที่ 9 14 คำสั่ง SFX มัลแวร์ลดน้อยลง 9ec60ada-a200-4159-b310-8071892ed0c3 .ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC )jpg มันสมอง |รูปภาพวางกับดักมีดังต่อไปนี้: |รูปสถานที่ 10 14;ภาพล่อลวง คุณอาจสังเกตเห็นสองบรรทัดเริ่มแรกในสคริปต์ SFX เรียกหาใช้แฟ้มข้อมูล OCX สองหน แต่ไม่ใช่ความผิดพลาด 26; |9ec60ada-a200-4159-b310-8071892ed0c3 .ocx (ShLd.dll)|โฟลว์การควบควบคุมของ OCX file19 นั้นคล้ายกับส่วนประกอบ OceanLotus อื่น ๆ : มีจำนวนมาก JZ / JNZ กับPUSH / RET ลำดับอนุศาสน์สอดแทรกพร้อมด้วยรหัสเศษ |รูปแห่งหน 11 14; หลังจากถักรหัสกากแล้วการส่งออก DllRegisterServer ที่ถูกเรียกหาโดย regsvr32.exe มีลักษณะเหตุฉะนี้: |รูปที่ 12 14; เครื่องหมายหลักสิ่งของโปรแกรมวาง โดยทั่วไปทีแรกที่ DllRegisterServer เรียกหาว่า span> มันจะตั้งค่ารีจิสตรี HKCU SOFTWARE Classes CLSID E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1 Model มอบเป็นอ็อฟซวดเซ็ตที่เข้ารหัสใน DLL ( 0x100011DE0 ). | | ครั้งลำดับที่สองที่เรียกหาใช้ฟังก์ชันฟังก์ชันจักอ่านค่าเดียวกันตรงนี้และเรียกใช้ฟังก์ชันเนื่องจากอยู่ตรงนั้นจากนั้นทรัพยากรจะอ่านและลงมือและมีการลงมือในหน่วยความจำมากมาย |shellcode เป็น PE ตัวโหลดเดียวกับดักที่ชดใช้ในแคมเปญ OceanLotus ก่อนหน้านี้มันสามารถจำลองด้วยสคริปต์การจำลอง miasm สรรพสิ่งเราในบั้นปลายมันจักลดลง db293b825dcc419ba7dc2c49fa2757ee.dll หน่วยความจำและเรียกหาใช้งาน DllEntry |DLL จะดึงเนื้อหาสิ่งของ its รีซอร์สถอดรหัส (AES-256-CBC) และขยายการบีบอัด (LZMA)ทรัพยากรประกอบด้วยรูปแบบเฉพาะที่ติดจะง่ายในที่การทำวิศวกรรมย้อนกลับ |รูปที่ 13 14 โครงสร้างของการกำหนดค่าตัวติดตั้ง (KaitaiStruct Visualizer) การกำครั้งดค่าประกอบด้วยความชัดแจ๋ว: ขึ้นอยู่กับชั้นสิทธิ์ประเด็นมูลไบนารีจะถูกเขียนไปอีกต่างหาก % appdata% Intel logs BackgroundUploadTask.cpl
หรือไม่ก็ขึ้นอยู่กับระดับสิทธิ์% windir% System32 BackgroundUploadTask.cpl
(หรือ SysWOW64
สำหรับกระบิล 64 บิต) โครงสร้างไฟล์ CPL ครอบครอง DLL ที่โด่งดังภายในคือ ac8e06de0a6c4483af9837d96504127e.dll กับส่งออก CPlApplet >span> ฟังก์ชั่นไฟล์ตรงนี้ถอดรหัสลับเฉพาะทรัพยากร A96B020F-0000-466F-A96D-A91BBF8EAC96 .dll จากนั้นโหลด DLL นั้นและเรียกหาการส่งออกเฉพาะ DllEntry |ไฟล์กำหนดค่าลับๆ|แบ็คดอร์ประกอบด้วยการกำหนดค่าที่เข้ารหัสซึ่งฝังสิงสู่ในทรัพยากรแบบสร้างของแฟ้มการกำหนดคุณค่าค่อนข้างคล้ายคลึงกับไฟล์ก่อนหน้านี้ |รูปที่ 14 14 โครงสร้างของการกำครั้งดค่าแบ็คดอร์ (KaitaiStruct Visualizer) แม้จะมีความคล้ายคลึงกักคุมของแบบสร้าง แต่ค่าในเขตข้อมูลเหล่านี้จำนวนมากครอบครองการอัปเดตครั้นเทียบกับดักค่าในที่เอกสารทางเทคนิคสรรพสิ่งเราตั้งแต่จันทร์มีนาคม 2018 ก้าวจรอีกขั้น|ทั้งๆ ที่การควานหาตัวอย่างประกอบด้วยลักษณะเด่นบางประการแม่แบบที่เพิ่งวิเคราะห์มีอยู่ในเหมือนกับเดือนเดือนกรกฎาคม 2561 และอื่น ๆ ที่คล้ายคลึงกันนั้นพานพบได้แห่งช่วงกลางเดือนมกราคมถึงต้นเดือนมกราคม- เดือนกุมภาพันธ์ 2019 เวกเตอร์การติดไวรัสที่ใช้เป็นไฟล์ดองถาวรสรรพสิ่ง SFX ที่ละเอกสารแห่งถูกต้องตามกฎหมายดักและแฟ้มข้อมูล OCX ที่เป็นอันตราย |แต่ OceanLotus จะใช้การประทับเวลาปลอม แต่ก็พบพานจัดการประทับระยะเวลาของแฟ้มข้อมูล SFX กับ OCX นั้นเหมือนกันเทียบเท่า ( 0x57B0C36A (08/14/2016 @ 7:UTC 15:00) และ 0x498BE80F (02/06/2009 @ 7:34 am UTC) เป็นลำดับ)นี่อาจจะชี้กรณีดุเขาทั้งหลายมี 1C โปร่งแสงอย่าง; builder1D;แห่งหนชดใช้แม่แบบเดียวกันด้วยกันผลัดกันลักษณะบางสิ่งขนาดนั้น |แห่งบรรดาเอกสารที่อีฉันพินิจพิจารณาตั้งแต่หัวปี 2561 ฉันเหลือบเห็นชื่องานพิมพ์สถานที่แตกต่างห้ามซึ่งแนะนำตัวการกำหนดจุดหมายปลายทางแห่งหนพัวพันกับแดน: |
ตั้งแต่งานค้นเจอ A96B020F-0000-466F-A96D-A91BBF8EAC96 มันสมองdll
เหลาๆกับการวิเคราะห์ทั่วไปเพราะว่านักวิจัยมากมายคนเราสังเกตเห็นการเปลี่ยนแปลงบางสิ่งในข้อมูลการกำทีดค่าสิ่งของ Malware19; อย่างลำดับที่สองประกอบด้วยงานผลัดกันไม้ค้ำลงฟิตัดทอน์การกำครั้งดค่าแบ็คดอร์มากมายคงจะหลบเลี่ยงการตรวจจับเนื่องจาก IoC จำนวนมากครบครันใช้งาน
ในที่สุดตัวแปรนวชาตทั้งหมดที่วิเคราะห์ประกอบด้วยเซิร์ฟเวอร์ C & amp; C ใหม่ซึ่งจัดโชว์อยู่ที่ส่วน IoCs |สรุป|OceanLotus คล่องแคล่วและพัฒนาอย่างต่อเนื่องกลุ่มมุ่งเน้นไปที่การเปลี่ยนกองเครื่องมือกับอุปกรณ์ล่อต่างๆเขาทั้งหลายห่อเอกสารที่น่ารู้อย่างชาญฉลาดโดยจับตามเหตุการณ์ปัจจุบันที่น่าจะเป็นแห่งสนใจของผู้ตกเป็นเหยื่อพวกเขายังคงคิดหากรรมวิธีที่แตกต่างกันกับใช้ซ้ำและอ่านเครื่องหมายการหาประโยชน์ที่ไม่มิดชิดต่อมวลชนเช่น Equation Editorยิ่งกว่านั้นพวกเขายังคงพัฒนาเทคนิคเพื่อลดปริมาณสิ่งของที่เหลืออยู่ณเหยื่อของพวกเขา 19;เครื่องจึงลดโอกาสที่การตรวจจับโดยผลิตภัณฑ์ความปลอดภัยดังที่เราได้แสดงการดำเนินการณหน่วยความจำจำนวนมากประกอบด้วยการสร้างชื่อแฟ้มข้อมูลแบบสุ่มและผู้ประกอบการ OceanLotus ได้ไขปัญหาไขไบนบานารีสิ่งของพวกเขาเพื่อหลีกเลี่ยงงานถูกตรวจสอบพบอีกสิ่งกลมๆที่น่าสนใจมากคือว่าชื่อโดเมนใสชื่อดูเหมือนจะมาจากพจนานุกรมOceanLotus ใช้ความพยายามเป็นพิเศษในการดำเนินการแคมเปญสรรพสิ่งพวกเขาถัดไป แต่ don19;เหมือนกับคุณลักษณะ MITER ATT & amp; CK ยังมีสิงสู่ในที่เก็บ GitHub ของดีฉันด้วย |คีย์รีจิสทเรียว / ค่า:|
Mutexes:|
ชื่อเสียงเรียงนามโดเมน
| |
aliexpresscn []net
| |
andreagahuvrauvin[มันสมอง]com
| |
andreagbridge[มันสมอง]com
| |
aolมันสมองstraliaenollma[มันสมอง]xyz
| |
beaudrysang[.]xyz
| |
becreybour[มันสมอง]com
| |
byronorenstein[.]com
| |
chinaport[มันสมอง]org
| |
christienoll[มันสมอง]xyz
| |
christienollmache[.]xyz
| |
cloudมันสมอง360cn [มันสมอง] ข้อมูล
| |
dieordaunt [มันสมอง] com
| |
dns.chinanews [มันสมอง] เครือข่าย
| |
illagedrivestralia[.]xyz
| |
karelbecker[.]com
| |
karolinblair[.]com
| |
lauradesnoyers[มันสมอง]com
| |
ntopมันสมองdieordaunt[.]com
| |
officeมันสมองourkekwiciver[.]com
| |
ourkekwiciver[.]com
| |
sophiahoule[มันสมอง]com
| |
stienollmache[มันสมอง]xyz
| |
straliaenollma[.]xyz
| |
ursulapapst[มันสมอง]xyz
| |
|
Files:
เอกสารที่นำไปใช้ CVE-2017-11882: | ||
---|---|
แฮช SHA-1 | ||
D1357B284C951470066AAA7A8228190B88A5C7C3 | ||
BB060E5E7F7E946613A3497D58FBF026AE7C369A | | tr <E2D949CF06842B5F7AE6B2DFFAA49771A93A00A9DD>| |
Win32/Exploit.CVE-2017-11882.BU | ||
Win32/Exploit.CVE-2017-11882.A | ||
Win32/ExploitมันสมองAgent.KT | ||
Win32/Exploit.Agent.LT | ||
Win32 / Exploit.CVE-2017-11882.EI | ||
คลัง SFX และ OCX droppers: | ||
แฮช SHA-1 | ||
AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB | >||
7642F2181CB189965C596964D2EDF8FE50DA742B | ||
CD13210A142DA4BC02DA47455EB2CFE13F35804A | ||
377FDC842D4A721A103C32CE8CB4DAF50B49F303 | ||
B4E6DDCD78884F64825FDF4710B35CDBEAABE8E2 | ||
BD39591A02B4E403A25AAE502648264308085DED | ||
B998F1B92ED6246DED13B79D069AA91C35637DEC | ||
CC918F0DA51794F0174437D336E6F3EDFDD3CBE4 | ||
83D520E8C3FDAEFB5C8B180187B45C65590DB21A | ||
EFAC23B0E6395B1178BCF7086F72344B24C04DCC | ||
8B991D4F2C108FD572C9C2059685FC574591E0BE | ||
B744878E150A2C254C867BAD610778852C66D50A | ||
3DFC3D81572E16CEAAE3D07922255EB88068B91D | ||
77C42F66DADF5B579F6BCD0771030ADC7AEFA97C | ||
ESETชื่อเสียงเรียงนามการตรวจจับ | ||
Win32 / AgentมันสมองZUR | |
MITERATT & amp; กลเม็ด CK
แทคติค | ID | ชื่อเสียงเรียงนาม | ชื่อกถา | |
---|---|---|---|
งานเข้าถึงเริ่มต้น | T1193 | Spearphishing Attachment | งานพิมพ์ RTF ที่หลอกลวงกับการหยุดชั่วกาลนานต้นร่างพองตัวเองจะไม่ผิดส่งเจียรยังผู้ประสบภัยที่อาจจะบังเกิด | |
T1204 | การทำสรรพสิ่งลูกค้า | ผู้ซื้อต้องเรียกใช้แฟ้มข้อมูลเก็บเก่าแก่ฉบับร่างพองตัวเองหรือไม่ก็ถกงานพิมพ์ RTF | ||
T1117 | Regsvr32 | Tนกเขาคลังข้อมูลแห่งพองตัวเองเรียกใช้งาน regsvr32
เพื่อที่จะเรียกหาใช้คืน OceanLotus & apos;แบ็คดอร์
| |
|
T1035 | งานดำเนินการบริการ | ขบวนการที่สองสิ่งของการหาประโยชน์บากบั่นที่จะเรียกหาใช้คืน OceanLotus & apos;แบ็คดอร์ดำรงฐานะบริการ | ||
ความคงทน | T1050 | บริการนวชาต | กระบวนการลำดับที่สองของการกอบโกยพากเพียรที่จะประสบความสำเร็จเพราะการสร้างบริการ | |
T1060 | เรียวจิสทรีเรียกใช้แป้นอักษร / โฟลเดอร์เริ่มแรก | ขบวนการที่สองของการหาประโยชน์พยายามที่จะเหลืออยู่เพราะว่าการเพิ่มค่าณการเรียกหาใช้คืนเรียวจิอังคณาคีย์ | ||
T1053 | ภารกิจที่จำกัดเวลาไว้ | กรรมวิธีที่สองของการใช้ประโยชน์พยายามที่จะบรรลุความพยายามโดยการสร้างตารางกิจธุระ | ||
การหลบหลีกการป้องกัน | T1009 | การขยายภาพร่างไบนารีไบนบานศาลกล่าวารี | ขั้นตอนลำดับที่สองของการหาช่องโหว่ที่ทำให้ไฟล์ประมวลผลหายเจียรพร้อมกับข้อมูลต้นฉบับสุ่ม | |
T1073 | DLLโหลดด้านข้าง | OceanLotus & apos;แบ็คดอร์ติดตั้งด้านด้านโดยวางไหักรารี่และไฟล์เอ็กซีคิวบิกต์ที่ถูกต้องและถูกต้องตามกฎหมาย (AcroTranscoder) | ||
t1112 | ปรับเปลี่ยนเรียวจิสทรี | OceanLotus & apos;แบ็คดอร์เก็บการกำหนดค่าไว้แห่งรีจิสตรีคีย์ | ||
T1027 | ไฟล์หรือประกาศที่ทำให้ชุลมุน | ขั้นตอนที่สองสรรพสิ่งการหาประโยชน์เข้ารหัส shellcode ที่เข้ารหัส | ||
T1099 | Timestomp | เวลาสร้างไฟล์แห่งถูกทิ้งเก็บในขั้นตอนลำดับที่สองของการตักตวงถูกตั้งค่าให้ซื่อกับเวลางานสร้าง kernel32.dll
.
| |
|
งานค้นพบ | T1083 | การพบไฟล์และไดเรกทอรี | OceanLotus & apos;แบ็คดอร์สามารถแสดงรายการแฟ้มข้อมูลและไดเรกกรองรี | |
T1012 | Query Registry | OceanLotus & apos;แบ็คดอร์สามารถสืบหา Windows Registry เพื่อรวบรวมข่าวระบบ | ||
T1082 | การเสาะแสวงข้อมูลระบบ | OceanLotus'แบ็คดอร์เก็บข้อมูลระบบและส่งไปอีกต่างหากเซิร์ฟเวอร์ C & amp; C ของมัน | ||
การกรอง | |||
ผู้ตั้งกระทู้ illegalnominee6 :: วันที่ลงประกาศ 2019-05-15 11:28:35 |
Copyright © 2010 All Rights Reserved. |
Visitors : 298480 |