海莲花白利用持久化新型组合攻击方式

  • A+
所属分类:安全文章



海莲花(OceanLotus/APT-C-00)

该组织是一个有政府背景的境外黑客组织,攻击目标主要是东亚国家的企业和政府部门,从2011年中国就遭受到了海莲花组织的网络攻击,自2015年360曝光海莲花以来,该组织仍未停止过对我国的攻击,360高级威胁研究院一直持续跟进监测海莲花组织的最新攻击。

01
常用攻击手段


海莲花在样本侧攻击多使用劫持侧加载的方式进行攻击,例如使用Windows Defender、Word,或是系统缺省文件来加载恶意载荷。使用远程服务或是远程任务计划的方式来启动白文件。

模块侧加载(白利用)


白名单文件的动态库侧加载(DLL搜索顺序劫持)技术(以下简称:白利用)是海莲花打造恶意载荷的核心攻击技术。下图高频利用的白文件统计,在今年上半年年统计中,被频繁利用的是金山杀毒相关组件、Steam 错误报告程序和网易云相关组件。可以看见其他安全软件相关的可信文件,被伪装和利用次数也都排在前列,由于安全厂商的及时跟进,切断了部分白利用的链条。
当此组织常规化使用这种启动方式以后,经过持续追踪统计,可以明显的看到他们不局限于一种常用的白利用文件通过对抗技术的不断升级,攻击方式更新为“广撒网”,由被白利用文件类别的总量少,单类别次数多;演化为:被利用文件类别的总量多,次数少加上修改白利用文件的名称,更增加了迷惑性,增加了存活率,加大了追踪难度

海莲花白利用持久化新型组合攻击方式


02
白利用持久化新型组合攻击方式


在日常狩猎海莲花攻击时,我们发现海莲花组织攻入企业内部后,滥用白利用技术,进行持久化驻留。配合横移技术以后,为了持久化驻留,使用了一个新的白利用驻留模式。
我们推测海莲花攻击步骤如下:
攻陷企业内网管控端。
使用攻陷的内网管控端,通过SMB/RPC建立与目标内网终端的远程服务连接。
收集内网终端应用服务信息,同时收集其他可用于定制化的信息,例如:内网IP段,MAC地址,HostName等。
将定制化后门模块下发至目标内网终端的指定目录中。
将白文件下发替换内网终端的服务原可执行文件。

海莲花白利用持久化新型组合攻击方式


当内网终端原有任务计划启动服务时,相当于启动了白利用后门组合文件。
根据我们对攻击过程的观察和分析,发现海莲花选择的目标服务主要是非系统服务,例如谷歌更新服务GoogleUpdate.exeAdobe更新服务armsvc.exe。这些服务即使被替换也不会影响应用程序的正常使用。
由于没有创建新服务项或修改原服务项的配置信息,仅替换原服务的可执行文件,用于替换的白文件也是可信文件,相当于模拟了一次应用程序文件升级的过程,以此来逃避安全软件的筛查。

新旧白利用方式横向对比


以往海莲花在使用白利用手法攻击时,大多是通过远程服务或远程任务计划启动白利用组合文件。当内网终端被远程连接时,会留下相关痕迹。并且无法持久化控制白利用组合文件的启动。
本次使用的新方式,利用了被攻击者系统中已存在的正常程序(服务)的任务计划来定时启动白文件加载后门模块,同时实现了持久化驻留的目的。避免了因远程服务连接而留下痕迹的缺点。

海莲花白利用持久化新型组合攻击方式



END




海莲花白利用持久化新型组合攻击方式
团队介绍
海莲花白利用持久化新型组合攻击方式
TEAM INTRODUCTION
360高级威胁研究院
360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

本文始发于微信公众号(360威胁情报中心):海莲花白利用持久化新型组合攻击方式

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: