บทความนี้จะขยายความในก่อนตวาดกลุ่ม OceanLotus (หรือที่รู้จักกันในชื่อ APT32 ด้วยกัน APT-C-00) ใช้ช่องโหว่ช่องโหว่หน่วยความจำเสียหายใน CVE-2017-11882 เมื่อเร็ว ๆ นี้ซอฟต์แวร์และกระบวนการที่มัลแวร์ OceanLotus ประสบผลสำเร็จในการคงอยู่สิ่งของระบบแห่งถูกรุกรานโดยไม่ทิ้งร่องรอยไหน ๆจากนั้นบทความอธิบายดุตั้งแต่ต้นปี 2562 พวกได้นำไปใช้จากคลังข้อมูลแบบขยายตัวเองเพื่อที่จะเรียกใช้โค้ด

บริบท

พละติดตาม OceanLotus19;กิจกรรมคือการการเดินทางในพื้นแผ่นดินแห่งการลวงลวงหมู่นี้เป็นที่รู้จักห้ามดีที่การล่อเหยื่อโดยการปลอมเนรมิตเอกสารที่น่าดึงดูดความสนใจเพื่อล่อเหยื่อแห่งอาจบังเกิดให้กระทำลับๆกลุ่มที่ 19 กับหาไอเดียใหม่ ๆ เพื่อขจรขจายชุดเครื่องมือของตัวเทคนิคแห่งหนใช้แห่งการล่อนั้นมีตั้งแต่ไฟล์ที่เรียกหาว่า double extension, งานแตกแฟ้มข้อมูลในร่างกายและแฟ้มข้อมูลที่ถกใช้งานมาโครไปจวบจนถึงการชดใช้ช่องโหว่ที่รู้จักมักจี่กันนวชาตยิ่งไปกว่านั้นพวกเขากระตือรือร้นยิ่งนักและยังคงบุกโจมตีเหยื่อผู้เคราะห์ร้ายที่เขาทั้งหลายชื่นชอบซึ่งดำรงฐานะประเทศแห่งเอเชียตะวันออกเฉียงใต้

สรุปการใช้ประโยชน์ขนมจากเครื่องมือแก้ปัญหาสมการ

ในกลางปี ??2018OceanLotus กระทำรณรงค์โดยใช้เอกสารแห่งหนละเมิดข้อด้อยที่ประเจิดประเจ้อโดยช่องโหว่ CVE-2017-11882ที่แท้มีการสอบสวนถึงแนวคิดหลายชนิดช่องโหว่นี้อยู่ในชิ้นส่วนที่รับผิดชอบที่การสร้างและเยียวยาสมการทางเลขหนึ่งในเอกสารแห่งหนเป็นอันตรายแห่งใช้เพราะว่า OceanLotus ถูกวิเคราะห์โดย 360 Threat Intelligence Center (ภาษาจีน) ด้วยกันมีเรื่องเบ็ดเตล็ดเกี่ยวกับงานหาประโยชน์เผชิญดูที่งานพิมพ์ที่ละม้ายกัน

ขั้นตอนแรก

เอกสารนี้ FW รายงานการสาธิตของอดีต CNRP แห่งสาธารณรัฐเกาหลีมันสมองdoc ( SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3 ) มีรูปร่างคล้ายกับ CNRP ในสาธารณรัฐประเทศเกาหลีหนึ่งแห่งกล่าวถึงที่บทความข้างต้นและน่าสนใจเพราะว่ามันเป็นเป้าหมายของผู้คนสถานที่สนใจการบ้านการเมืองกัมพูชา (CNRP 13; ก๊กกู้ภัยแห่งชาติกัมพูชา 13; พรรคการเมืองถูกยุบในปลายปี 2560)แม้จักมีนามสกุล. doc สิ่งพิมพ์จริง ๆ แล้วในแนวทาง RTF (ดูตัวที่ 1) ประกอบด้วยกลุ่มขยะจำนวนมากกับยังประกอบด้วยรูปแบบที่ไม่เที่ยงตรง

รูปสถานที่ 1 14; ช่องเก็บขยะ RTF

ขนาดที่จะประกอบด้วยองค์ประกอบที่มีรูปแบบไม่แน่นอน Word ก็สามารถยกขึ้นไฟล์ RTF นี้ได้เกิดผลดังที่เหลือบเห็นใน (ร่างกายที่ 2) แห่ง offset 0xC00 ที่มี EQNOLEFILEHDRโครงสร้างติดสอยห้อยตามด้วยท่อนหัว MTEF และจากนั้นบันทึก MTEF (รูปที่ 3) เพราะแบบตัวหนังสือ

รูปแห่ง 2 14;ค่าระเบียน FONT

ทัวร์กัมพูชา

ล้นในที่ฟิลด์ ชื่อเสียงเรียงนาม เป็นไปได้ตามที่ขนาดของมันคือว่า 19 ไม่ได้ตรวจสอบก่อนที่จะจดชื่อสถานที่ยาวเกินควรจะทำให้เกิดช่องโหว่ตามที่เห็นในที่เนื้อหาแฟ้มข้อมูล RTF (ชดเชย 0xC26 ที่รูปแห่ง 2) บัฟเฟอร์เต็มไปด้วย shellcode ตามเช่นกันการขยับที่ NOP (0x90) และที่อยู่ผู้ส่ง 0x402114 ที่อยู่นั้นเป็นอุปกรณ์ใน EQNEDT32.exe ชี้ให้เห็นไปแห่งหนคำสั่ง RET ผลสรุปนี้ในที่ EIP ชี้จรที่จุดเริ่มแรกของฟิลด์ ชื่อ ซึ่งประกอบด้วยเชลล์โค้ด

รูปที่ 4 14; ริเริ่มการทำงานสรรพสิ่ง shellcode

ที่อยู่ 0x45BD3C จัดเก็บตัวแปรที่ไม่ผิดยกเลิกการอ้างอิงกระทั่งจะจรดตัวบ่งบอกไปอีกทั้งโครงสร้าง MTEFData ที่โหลดอยู่ณปัจจุบันนั่นคือแห่งที่ฝาหอยส่วนที่เหลืออยู่

จุดประสงค์ของ shellcode คือการดำเนินการ shellcode ชิ้นที่สองซึ่งซุกอยู่ในเอกสารที่เปิดอยู่ก่อนอื่น shellcode เริ่มต้นอุตสาหะค้นหาเลขลำดับอ้างอิงสรรพสิ่งไฟล์สิ่งพิมพ์ที่ดึงขึ้นอยู่เพราะว่าวนย้ำที่ดวงจับสรรพสิ่ง system19 ทั้งหมด ( NtQuerySystemInformation เช่นกันอาร์กิวเมนต์ SystemExtendedHandleInformation ); s PID ตรงกับดัก PID ของกระบวนการ WinWord และถ้าหากเอกสารถูกเปิดด้วยมาสก์การเข้าถึงตั้งแต่นี้ไป: 0x12019F .เพื่อที่จะยืนยันว่าพบเลขอ้างอิงแห่งถูกต้องหามิได้หมายเลขอ้างอิงของสิ่งพิมพ์เปิดอื่นจุดสำคัญของแฟ้มข้อมูลจะถูกแมปด้วยฟังก์ชัน CreateFileMapping กับ shellcode ตรวจสอบดุสี่ไบต์บ๊วยของเอกสารเป็น 1C หรือเปล่าspan> yyyy 1C; เทคนิคนี้มีชื่อดุ 1C; Egg Hunting1D;เมื่อผ่านพบการเข้าคู่เอกสารจักถูกหมายไว้ไปอีกทั้งโฟลเดอร์ชั่วคราว ( GetTempPath ) ครอบครอง ole.dll แล้ว 12 ไบต์สุดท้ายสรรพสิ่งเอกสารจักถูกอ่าน

ร่างกายที่ 5 14 ธวัชที่ตอนหลังเอกสาร

ค่า 32- บิตระหว่าง AABBCCDD และ yyyy เครื่องหมายประสบความสำเร็จชดเชยมอบกับ shellcode ต่อไปมันถูกเรียกใช้โดยใช้ CreateThread ฟังก์ชั่น shellcode ที่แตกออกมานั้นเหมือนกับที่หมวด OceanLotus ใช้มาระยะหนึ่งแล้วสคริปต์ Python emulator แห่งหนเราโหมโรงในเดือนมีนาคม 2018 ยังคงดำเนินการเพื่อทิ้งขั้นตอนต่อไป

ขั้นตอนที่สอง

งานแยกส่วนประกอบ

ชื่อเสียงเรียงนามไฟล์และไดเรกทอรีจะถูกเลือกต้นฉบับไดนามิมือหัสสุ่มเลือกคัดชื่อไฟล์ของไฟล์เรียกปฏิบัติการหรือไฟล์ DLL ที่อยู่ใน C: Windows system32 จากนั้นจะทำการสืบค้นทรัพยากรด้วยกันแยกฟิลด์ FileDescription เพื่อใช้เป็นชื่อโฟลเดอร์หากวิธีนี้ใช้ไม่ได้รหัสจะสุ่มตัวอย่างเลือกชื่อโฟลเดอร์ขนมจากไดเรกทอเรียว % ProgramFiles% หรือ C: Windows (จาก GetWindowsDirectoryW)มันหลีกเลี่ยงการใช้ชื่อที่อาจขัดแย้งกับไฟล์ที่มีสิงสู่โดยทำให้รู้แก่ใจว่าไม่มี: windows, Microsoft, เดสก์ท็อป, กระบิล, system32 หรือ syswow64 หากไดเยุ่งทอรีตรงนั้นมีอยู่ต่อจากนั้นชื่อไดเรกกรองรีจะถูกต่อท้ายด้วย 1C; NLS_ 6 หลักเขต 1D ;.

ทรัพยากรขั้นตอนสถานที่ 19 ของ 0x102 จะไม่ผิดแยกวิเคราะห์กับไฟล์จะไม่ผิดทิ้งใน % ProgramFiles% หรือไม่ก็ % AppData% ในโฟลเดอร์ที่เลือกเฟ้นแบบสุ่มยุคในการก่อสร้างจะเปลี่ยนเป็นคุณค่าเดียวกันกับ kernel32.dll

ตัวอย่างนี่ลงความว่าโฟลเดอร์และรายการไฟล์ที่สร้างเพราะการเลือก C: Windows system32 TCPSVCS.exe ปฏิบัติการเป็นอู่ของข้อมูล

รูปสถานที่ 6 14;ส่วนประกอบที่แตกต่างกัน

โครงสร้างของทรัพยากร 0x102 ในหยดมีความซับซ้อนค่อนข้างโดยย่อประกอบด้วย:

|
• ชื่อไฟล์
|
• ไฟล์ 19; ขนาดและเนื้อหา
|
• ครรลองการบีบอัด ( COMPRESSION_FORMAT_LZNT1 ใช้เพราะว่า ฟังก์ชั่น RtlDecompressBuffer )
|

ไฟล์แต่ต้นจะเช็ดถูกดคอยปเป็น TCPSVCSมันสมองexe ซึ่งจริงๆหลังจากนั้นคือ Adobe19; AcroTranscoder.exe ที่ถูกต้องตามกฎหมาย (ตาม FileDescription ของ SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3 ได้สังเกตเห็นว่าขนาดไฟล์ของ DLLs บางชิ้นเกิน 11MBนี่เป็นก็เพราะว่าบัฟเฟอร์ขนาดใหญ่ที่ไม่ว่างเว้นกันของข้อมูลต้นร่างสุ่มถูกวางไว้ภายในแฟ้มเรียกดำเนินการอาจครอบครองวิธีเอ็ดในการหลบเลี่ยงเลี่ยงการตรวจจับโดยผลิตภัณฑ์ความปลอดภัยบางตัว

บรรลุความคงอยู่

ทรัพยากร 0x101 ของหยาดน้ำมีเลขจำนวนเต็ม 32 บิตสองตัวแห่งหนกำหนดว่าควรปฏิบัติการเก็บรักษาอย่างไรค่าของคนจำเดิมระบุตวาดมัลแวร์จะได้มาการหลงเหลืออยู่โดยพ้นไปสิทธิ์ผู้ดูแลระบบ

ค่าของจำนวนเต็มร่างกายที่สองระบุวิธีแห่งมัลแวร์ควรพากเพียรที่จะคงอยู่ผิมันทำด้วยสิทธิระดับสูง

ชื่อบริการตกว่าชื่อเสียงเรียงนามแฟ้มข้อมูลสถานที่ปราศจากนามสกุลชื่อแห่งหนจัดโชว์ดำรงฐานะชื่อโฟลเดอร์ แต่ว่าถ้าประกอบด้วยสิงสู่ต่อจากนั้นสตริง 1C; สาวที่ 1 1D;ถูกห้อยท้าย (หมายเลขจักเพิ่มพูนจนกระทั่งจะพบชื่อเสียงเรียงนามแห่งหนไม่ไหวชดใช้)ผู้ดำเนินการเป็นเหตุให้รู้แก่ใจว่าการตกค้างเปลี่ยนบริการจักผ่อนปรน: พอบริการพังทลายบริการน่าเริ่มต้นใหม่ภายหลัง 1 วินาทีต่อจากนั้นคุณค่าเรียวจิสทเรียว WOW64 สิ่งของแป้นอักษรบริการใหม่ไม่ผิดตั้งค่าครอบครอง 4 ซึ่งระบุว่า it19; sa บริการ 32 เลขฐานสอง

กิจธุระแห่งหนขีดคั่นระยะเวลาเก็บจะถูกสร้างขึ้นไปเปลี่ยนส่วนต่อประสาน COM เหลือแหล่ร่างกาย: ITaskScheduler , ITask , ITaskTrigger , IPersistFile กับ ITaskScheduler เพราะว่ารากฐานจากนั้นมัลแวร์จักสร้างภารกิจเกราะกำบังอยู่ตั้งค่าประกาศบัญชีพร้อมด้วยผู้ใช้ช่วงปัจจุบันหรือไม่ก็ประกาศผู้ดูแลระเบียบและริเริ่มตั้งขึ้นคุณประโยชน์ทริกเกอร์

นี่ดำรงฐานะกิจวัตรประจำวันแห่งหนประกอบด้วยกาลเวลา 24 ขณะด้วยกันมีการกำหนดระยะเวลาระหว่างงานปลิดชีพญิบหนสิบ นาทีซึ่งบ่งความว่ามันจักทำตลอดเวลา

เลขฐานสองแห่งหนเป็นอันตราย

ในที่ตัวอย่างสรรพสิ่งฉันแฟ้มข้อมูลจัดการ TCPSVCSมันสมองexe ( AcroTranscoder.exe ) เป็นซอฟต์แวร์แห่งถูกต้องตามกฎหมายโหลด DLLs แห่งหนไม่ผิดทิ้งวางกับมันในกรณีนี้ Flash Video Extension.dll ครอบครองสิ่งแห่งน่ารู้

ฟังก์ชั่น DLLMain พางเรียกหาชดใช้ฟังก์ชันข้างเดียวมีโปร่งท้องถิ่นแห่งหนทึบแสง:

ร่างกายแห่ง 7 14; คำกริยาทึบแสง

ภายหลังการหลอกต้มเหล่านี้การตรวจรหัสจักถือสิทธิ์ซีก มันสมองtext สรรพสิ่ง TCPSVCSมันสมองexe เปลี่ยนการกันเป็น PAGE_EXECUTE_READWRITE และผลัดเปลี่ยนเลี่ยนด้วยคำแนะนำแห่งไม่ต้องทำเช่นไรพ้นไม่มีผลเคียงข้าง:

ร่างกายแห่งหน 8 14;หลั่นสรรพสิ่งคำสั่งสถานที่ไม่เป็นผลใกล้เคียง

ในที่สุดท้ายคำประกาศิต CALL ด้วยเหตุที่สิงสู่สิ่งของฟังก์ชัน FLVCore :: เลิกการกำคราวดค่าประเดิม (ถือเป็นโมฆะ) เพราะ ส่วนเพิ่มเติมวิดีโอ Flash ซึ่งบอกเรื่องว่าหลังจากโหลด DLL สถานที่เป็นโทษพอรันไทม์เรียกหา WinMain ณ TCPSVCSมันสมองexe เนื้อตัวบ่งบอกคำประกาศิตจักบ่งชี้เจียรแห่งหน 1C; NOP1D;เลื่อนที่ซึ่งสุดท้ายจักเรียก FLVCore :: Uninitialize (void) ซึ่งครอบครองกระบวนการถัดไป

ฟังก์ชันนี้จะสร้าง mutex สถานที่เริ่มต้นอีกด้วย 181C8480-A975-411C-AB0A-630DB8B0A221 และตามอีกด้วยชื่อผู้ใช้ยุคปัจจุบันแล้วจะอ่านแฟ้มแห่งถูกดร็อปอีกด้วย & # xA0; มันสมองdb3 & # xA0;ส่วนเพิ่มเติมซึ่งประกอบด้วยสัญลักษณ์แห่งหนเปล่าสังกัดตำแหน่งกับชดใช้ CreateThread เพื่อจะเรียกใช้เนื้อควานหา

เนื้อความของแฟ้มมันสมอง db3 ดำรงฐานะ shellcode แห่งใช้คืนเพราะว่า OceanLotusอีกครั้งดิฉันประสบผลณงานถลายบรรจุภัณฑ์เพราะว่าใช้คืนสคริปต์อีมูเลเโคนร์แห่งหนเราโฆษณาชวนเชื่อบนบานศาลกล่าว GitHub

สคริปต์จะแยกขั้นตอนสุดท้ายส่วนประกอบตรงนี้เป็นแบ็คดอร์ที่ดิฉันวิเคราะห์ไปแล้วในเอกสารทางเทคนิคนี้: OceanLotus: เทคนิคเก่า ๆ , แบ็คดอร์นวชาตเป็นที่รู้จักเช่นนี้จาก GUID A96B020F-0000-466F-A96D-A91BBF8EAC96 ที่มีอยู่ในที่ไบนารีการกำครั้งดค่ามัลแวร์ยังคงถูกเข้ารหัสในทรัพยากร PEมันมีการกำหนดค่าเฉียดเหมือนกัน แต่เซิร์ฟเวอร์ C & amp; C ตรงนั้นแตกต่างจากแห่งหนเผยแพร่แล้ว:

|
• andreagahuvrauvin [.] com
|
• byronorenstein คอม
[.] | [.]
• stienollmache xyz
|

ครั้นอีกครั้ง OceanLotus นำเสนองานผสมผสานที่เลิศของเทคนิคงานอยู่ใต้เรดาร์เขาทั้งหลายกลับมาพร้อมกับ 1C; better1D;เหน้าของกระบวนการติดโรคโดยการเลือกเฟ้นชื่อแบบสุ่มตัวอย่างและการเขียนเติมไฟล์ที่ปฏิบัติการได้ด้วยประกาศแบบสุ่มก๊กมันจะลดจำนวน IoCs ที่เชื่อถือได้ (ชดใช้แฮชและชื่อไฟล์ตาม)ยิ่งไปกว่านั้นด้วยเหตุที่พวกเขากำลังใช้การโหลดปีก DLL ผู้โจมตีจึงต้องวาง AcroTranscoder ไบนารีที่ถูกต้องตามกฎหมาย

คลังข้อมูลแห่งขยายตัวเองได้อย่างถูกต้อง

หลังจากใช้ไฟล์ RTF กลุ่มเริ่มใช้คืนคลังข้อมูลแบบขยายตัวเอง (SFX) แห่งใช้ไอคอนเอกสารทั่วไปเพื่อพยายามหลอกลวงผู้ที่ตกเป็นตัวรับเคราะห์เอกสารนี้ทำโดยย่อ Threatbook (ภาษาจีน)เมื่อรันแฟ้ม RAR แบบขยายตัวเองกลุ่มนี้จะปล่อยกับเรียกใช้แฟ้ม DLL (พร้อมด้วยนามสกุล. ocx) พร้อมเพย์โหลดขั้นสุดท้ายซึ่งดำรงฐานะ {A96B020F-0000-466F-A96D-A91BBF8EAC96 ที่ระบุวางในเอกสารก่อนหน้า .dll มันสมองตั้งแต่กลางเดือนมกราคม 2019 OceanLotus เริ่มนำเคล็ดลับนี้กลับใช้นวชาต แต่เปลี่ยนการกำหนดคุณประโยชน์บางอย่างเมื่อเวลาผ่านไปด้านนี้จะอธิบายจรดเทคนิคกับสิ่งที่พวกเขาเปลี่ยนแปลงเพื่อให้บรรลุเป้าหมาย

ตกหลุมรัก

เอกสาร THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1) .EXE (เป็น 1C; ความสัมพันธ์ที่ชื่นชอบสิ่งของ VIETNAMESE PERFORMANCE1D ครั้งแรกดังที่ Google แปลภาษา SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BABBไฟล์ SFX ถูกสร้างขึ้นอย่างชาญฉลาดดังที่คำอธิบาย ( ข้อมูลเวอร์ชัน ) เจาะจงว่า it19; sa 1C; JPEG Image1D;สคริปต์สรรพสิ่ง SFX มีดังต่อไปนี้:

รูปสถานที่ 9 14 คำสั่ง SFX

มัลแวร์ลดน้อยลง 9ec60ada-a200-4159-b310-8071892ed0c3 .ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC )jpg มันสมอง

รูปภาพวางกับดักมีดังต่อไปนี้:

รูปสถานที่ 10 14;ภาพล่อลวง

คุณอาจสังเกตเห็นสองบรรทัดเริ่มแรกในสคริปต์ SFX เรียกหาใช้แฟ้มข้อมูล OCX สองหน แต่ไม่ใช่ความผิดพลาด 26;

9ec60ada-a200-4159-b310-8071892ed0c3 .ocx (ShLd.dll)

โฟลว์การควบควบคุมของ OCX file19 นั้นคล้ายกับส่วนประกอบ OceanLotus อื่น ๆ : มีจำนวนมาก JZ / JNZ กับPUSH / RET ลำดับอนุศาสน์สอดแทรกพร้อมด้วยรหัสเศษ

รูปแห่งหน 11 14;

หลังจากถักรหัสกากแล้วการส่งออก DllRegisterServer ที่ถูกเรียกหาโดย regsvr32.exe มีลักษณะเหตุฉะนี้:

รูปที่ 12 14; เครื่องหมายหลักสิ่งของโปรแกรมวาง

โดยทั่วไปทีแรกที่ DllRegisterServer มันจะตั้งค่ารีจิสตรี HKCU SOFTWARE Classes CLSID E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1 Model มอบเป็นอ็อฟซวดเซ็ตที่เข้ารหัสใน DLL ( 0x100011DE0 ). | | ครั้งลำดับที่สองที่เรียกหาใช้ฟังก์ชันฟังก์ชันจักอ่านค่าเดียวกันตรงนี้และเรียกใช้ฟังก์ชันเนื่องจากอยู่ตรงนั้นจากนั้นทรัพยากรจะอ่านและลงมือและมีการลงมือในหน่วยความจำมากมาย

shellcode เป็น PE ตัวโหลดเดียวกับดักที่ชดใช้ในแคมเปญ OceanLotus ก่อนหน้านี้มันสามารถจำลองด้วยสคริปต์การจำลอง miasm สรรพสิ่งเราในบั้นปลายมันจักลดลง db293b825dcc419ba7dc2c49fa2757ee.dll หน่วยความจำและเรียกหาใช้งาน DllEntry

DLL จะดึงเนื้อหาสิ่งของ its รีซอร์สถอดรหัส (AES-256-CBC) และขยายการบีบอัด (LZMA)ทรัพยากรประกอบด้วยรูปแบบเฉพาะที่ติดจะง่ายในที่การทำวิศวกรรมย้อนกลับ

รูปที่ 13 14 โครงสร้างของการกำหนดค่าตัวติดตั้ง (KaitaiStruct Visualizer)

การกำครั้งดค่าประกอบด้วยความชัดแจ๋ว: ขึ้นอยู่กับชั้นสิทธิ์ประเด็นมูลไบนารีจะถูกเขียนไปอีกต่างหาก % appdata% Intel logs BackgroundUploadTask.cpl หรือไม่ก็ขึ้นอยู่กับระดับสิทธิ์% windir% System32 BackgroundUploadTask.cpl (หรือ SysWOW64 สำหรับกระบิล 64 บิต)
| ถัดไปการหลงเหลืออยู่นั้นทำได้ลงคอโดยการสร้างการทำงานชื่อ BackgroundUploadTask [junk] .job โดยแห่งหน [ขยะ] รวมความว่าชุดของ 0x9D และ 0xA0 ไบต์

ชื่อเสียงเรียงนามแอปพลิเคชันของการทำงานคือ % windir% System32 controlมันสมองexe และค่าพารามิเตอร์เป็นวิถีทางของไบนบานารีละภารกิจกำบังอยู่ไม่ผิดตั้งค่าให้ดำเนินการทุกวัน

โครงสร้างไฟล์ CPL ครอบครอง DLL ที่โด่งดังภายในคือ ac8e06de0a6c4483af9837d96504127e.dll กับส่งออก CPlApplet span> ฟังก์ชั่นไฟล์ตรงนี้ถอดรหัสลับเฉพาะทรัพยากร A96B020F-0000-466F-A96D-A91BBF8EAC96 .dll จากนั้นโหลด DLL นั้นและเรียกหาการส่งออกเฉพาะ DllEntry

ไฟล์กำหนดค่าลับๆ

แบ็คดอร์ประกอบด้วยการกำหนดค่าที่เข้ารหัสซึ่งฝังสิงสู่ในทรัพยากรแบบสร้างของแฟ้มการกำหนดคุณค่าค่อนข้างคล้ายคลึงกับไฟล์ก่อนหน้านี้

รูปที่ 14 14 โครงสร้างของการกำครั้งดค่าแบ็คดอร์ (KaitaiStruct Visualizer)

แม้จะมีความคล้ายคลึงกักคุมของแบบสร้าง แต่ค่าในเขตข้อมูลเหล่านี้จำนวนมากครอบครองการอัปเดตครั้นเทียบกับดักค่าในที่เอกสารทางเทคนิคสรรพสิ่งเราตั้งแต่จันทร์มีนาคม 2018

ชิ้นส่วนแรกสรรพสิ่งไบนาเรียวอาร์เรย์มี DLL ( HttpProvมันสมองdll MD5: 2559738D1BD4A999126F900C7357B759 ) ซึ่งระบุเพราะว่า Tencent แต่ดังที่ชื่อการส่งออกถูกลบออกลูกจากไบนารีไบนบานารีจักไม่ระดับเดียวกันp> |

ก้าวจรอีกขั้น

ทั้งๆ ที่การควานหาตัวอย่างประกอบด้วยลักษณะเด่นบางประการแม่แบบที่เพิ่งวิเคราะห์มีอยู่ในเหมือนกับเดือนเดือนกรกฎาคม 2561 และอื่น ๆ ที่คล้ายคลึงกันนั้นพานพบได้แห่งช่วงกลางเดือนมกราคมถึงต้นเดือนมกราคม- เดือนกุมภาพันธ์ 2019 เวกเตอร์การติดไวรัสที่ใช้เป็นไฟล์ดองถาวรสรรพสิ่ง SFX ที่ละเอกสารแห่งถูกต้องตามกฎหมายดักและแฟ้มข้อมูล OCX ที่เป็นอันตราย

แต่ OceanLotus จะใช้การประทับเวลาปลอม แต่ก็พบพานจัดการประทับระยะเวลาของแฟ้มข้อมูล SFX กับ OCX นั้นเหมือนกันเทียบเท่า ( 0x57B0C36A (08/14/2016 @ 7:UTC 15:00) และ 0x498BE80F (02/06/2009 @ 7:34 am UTC) เป็นลำดับ)นี่อาจจะชี้กรณีดุเขาทั้งหลายมี 1C โปร่งแสงอย่าง; builder1D;แห่งหนชดใช้แม่แบบเดียวกันด้วยกันผลัดกันลักษณะบางสิ่งขนาดนั้น

แห่งบรรดาเอกสารที่อีฉันพินิจพิจารณาตั้งแต่หัวปี 2561 ฉันเหลือบเห็นชื่องานพิมพ์สถานที่แตกต่างห้ามซึ่งแนะนำตัวการกำหนดจุดหมายปลายทางแห่งหนพัวพันกับแดน:

|
• ข่าวสารงานต่อเนื่องใหม่ของพาหะเขมร (นวชาต) มันสมองxlsมันสมองexe
|
• & # x674E; & # x5EFA; & # x9999; ( 个人 简历 ) มันสมองexe (เอกสาร PDF เทียมสิ่งของ CV)
|
• ข้อเสนอแนะการชมรมแห่งสหรัฐฯระหว่างวันที่ 28-29 กรกฎาคม 2018.exe
|

ตั้งแต่งานค้นเจอ A96B020F-0000-466F-A96D-A91BBF8EAC96 มันสมองdll เหลาๆกับการวิเคราะห์ทั่วไปเพราะว่านักวิจัยมากมายคนเราสังเกตเห็นการเปลี่ยนแปลงบางสิ่งในข้อมูลการกำทีดค่าสิ่งของ Malware19;
| ระยะแรกผู้แต่งริเริ่มลบออกชื่อออกจาก DLL เลขานุการหลงเหลือ ( DNSprovมันสมองdll ด้วยกัน HttpProvมันสมองdll หญิบสาว)มันสมอง | | ต่อจากนั้นผู้ประกอบการจอดการบรรจุหีบห่อ DLL ลำดับที่สาม ( HttpProvมันสมองdll เหน้าที่สอง) แจกเลือกเฟ้นmbed พางชิ้นคนเดียว

อย่างลำดับที่สองประกอบด้วยงานผลัดกันไม้ค้ำลงฟิตัดทอน์การกำครั้งดค่าแบ็คดอร์มากมายคงจะหลบเลี่ยงการตรวจจับเนื่องจาก IoC จำนวนมากครบครันใช้งาน

ฟิลด์ประธานแห่งหนประกอบด้วยการเปลี่ยนแปลงมีดังต่อไปนี้:

|
• the 1C;AppX1D;รีจิผู้หญิงคีย์แปรไป (ดู IoCs)
|
• สตริงการใส่รหัส mutex (1C; def1D ;, 1C; abc1D ;, 1C; ghi1D;)
หมายเลขท่าเรือ |

ในที่สุดตัวแปรนวชาตทั้งหมดที่วิเคราะห์ประกอบด้วยเซิร์ฟเวอร์ C & amp; C ใหม่ซึ่งจัดโชว์อยู่ที่ส่วน IoCs

สรุป

OceanLotus คล่องแคล่วและพัฒนาอย่างต่อเนื่องกลุ่มมุ่งเน้นไปที่การเปลี่ยนกองเครื่องมือกับอุปกรณ์ล่อต่างๆเขาทั้งหลายห่อเอกสารที่น่ารู้อย่างชาญฉลาดโดยจับตามเหตุการณ์ปัจจุบันที่น่าจะเป็นแห่งสนใจของผู้ตกเป็นเหยื่อพวกเขายังคงคิดหากรรมวิธีที่แตกต่างกันกับใช้ซ้ำและอ่านเครื่องหมายการหาประโยชน์ที่ไม่มิดชิดต่อมวลชนเช่น Equation Editorยิ่งกว่านั้นพวกเขายังคงพัฒนาเทคนิคเพื่อลดปริมาณสิ่งของที่เหลืออยู่ณเหยื่อของพวกเขา 19;เครื่องจึงลดโอกาสที่การตรวจจับโดยผลิตภัณฑ์ความปลอดภัยดังที่เราได้แสดงการดำเนินการณหน่วยความจำจำนวนมากประกอบด้วยการสร้างชื่อแฟ้มข้อมูลแบบสุ่มและผู้ประกอบการ OceanLotus ได้ไขปัญหาไขไบนบานารีสิ่งของพวกเขาเพื่อหลีกเลี่ยงงานถูกตรวจสอบพบอีกสิ่งกลมๆที่น่าสนใจมากคือว่าชื่อโดเมนใสชื่อดูเหมือนจะมาจากพจนานุกรมOceanLotus ใช้ความพยายามเป็นพิเศษในการดำเนินการแคมเปญสรรพสิ่งพวกเขาถัดไป แต่ don19;เหมือนกับคุณลักษณะ MITER ATT & amp; CK ยังมีสิงสู่ในที่เก็บ GitHub ของดีฉันด้วย

คีย์รีจิสทเรียว / ค่า:

|
• HKCU CLSID E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1 เหน้า
|
• สถานที่อำนวยประโยชน์ HKLMUULEPANFTWAREApp ://
  AppXbf13d4ea2945444d8b13e2121cb6b663 |
  • AppX70162486c7554f7f80f481985d67586d
  |
  • AppX37cc7fdccd644b4f85f4b22d5a3f105a
  |
  |
|

Mutexes:

|
• 181C8480-A975-411C-AB0A-630DB8B0A221 _ (+ ชื่อเสียงเรียงนามผู้ซื้อ)
< >