针对性伪装攻击,终端信息安全的间谍--海莲花 APT

  • A+
所属分类:安全新闻
背景概述
近期,深信服终端安全团队捕获并分析了一个APT样本,经过分析人员确认来自近年来频繁活跃的“海莲花”组织。

针对性伪装攻击,终端信息安全的间谍--海莲花 APT
*2012年4月,首次发现某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。该组织主要通过鱼叉攻击和水坑攻等方法,配合多种社会工程学手段进行渗透,利用木马程序入侵并控制特定目标人群的终端系统,窃取相关的机密资料。根据该组织的攻击特点,将其命名为“海莲花”(OceanLotus)。
针对性伪装攻击,终端信息安全的间谍--海莲花 APT


“海莲花”组织自首次发现以来,已被发现先后使用了4种不同形态的木马程序。初期的木马程序并不复杂,比较容易被发现和查杀。但近年来捕获的“海莲花”攻击样本均增加了一系列复杂的攻击技术,防护查杀的难度也呈正比增加。

此次深信服终端安全团队捕获的样本就具备了以下特征:

  • 白加黑投递,利用正常软件加载恶意攻击载荷

  • 精确攻击,只有特定主机才能解密执行远控木马

  • 多重加密,在生成最终载荷前,执行了四次解密操作

执行流程图如下:

针对性伪装攻击,终端信息安全的间谍--海莲花 APT

样本分析
APT样本包含lenovodrvtray.exe和DgBase.dll两个文件

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


其中lenovodrvtray.exe是带有正规数字签名的联想驱动自动安装软件

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


lenovodrvtray启动时会加载恶意文件DgBase.dll

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


DgBase.dll载入后会从资源段中解密释放一段代码跳转执行

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


该段代码同样是经过加密的,在执行前会不断解密汇编代码

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


经过数次自解密后跳转到该段代码真实入口点

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


利用主机名生成哈希值,根据该HashData生成密钥

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


将数据拷贝到新的地址并使用密钥解密

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


创建线程执行解密出来的代码

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


执行StartServiceDispatchW

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


执行RegisterServiceCrtlHandle将恶意程序注册为服务

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


该线程会从自身地址偏移0xB78B处开始搜索提取PE文件

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


申请新的内存空间用于拷贝新的PE文件

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


该PE会执行两次,第一次生成域名、IP等信息,第二次作为远控木马执行

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


跳转到PE处执行,该远控木马包含通信和控制模块

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


通信模块函数(offset:0x0397),会每隔3000ms对域名进行一次请求

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


请求域名为bootstrap.cssracniu.com,IP地址为193.36.119.47

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


请求头为

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


请求路径为/N9900/adj/amzn.us.sr.aps

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


成功收到对应域名的指令后,会进入远控模块执行命令

针对性伪装攻击,终端信息安全的间谍--海莲花 APT

    

拥有多达80+远控指令,包含文件、注册表、进程操作等等

针对性伪装攻击,终端信息安全的间谍--海莲花 APT


相关IOC


域名:bootstrap.cssracniu.com
IP:193.36.119.47
Hash:3452471158ED7E6BDE3D66141B08CEA4

深信服产品处理方案
  1. 深信服下一代防火墙AF、终端检测响应平台EDR、安全感知平台SIP等安全产品,已集成了SAVE人工智能引擎,均能有效检测防御此恶意软件,已经部署相关产品的用户可以进行安全扫描,检测清除此恶意软件,如图所示:

针对性伪装攻击,终端信息安全的间谍--海莲花 APT

    2. 深信服安全感知平台、下一代防火墙、EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁;
    3. 深信服安全产品继承深信服SAVE安全智能检测引擎,拥有对未知病毒的强大泛化检测能力,能够提前精准防御未知病毒;
    4. 深信服推出安全运营服务,通过以“人机共智”的服务模式提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。


日常防范措施

  1. 及时给系统和应用打补丁,修复常见高危漏洞;

  2. 不要点击来源不明的邮件附件,不从不明网站下载软件;

  3. 避免使用弱密码,定时进行密码修改以及加固;

  4. 定期查看终端日志,检查终端是否存在异常行为。

深信服千里目安全实验室

针对性伪装攻击,终端信息安全的间谍--海莲花 APT

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们

本文始发于微信公众号(深信服千里目安全实验室):针对性伪装攻击,终端信息安全的间谍--海莲花 APT

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: