继上次分析完该黑客组织nim木马加载器样本,从而对该类样本有了一定认识。按照掌握的该组织的活动频次与入侵策略,很可能还存在更多类似的恶意样本。其实本质的思想还是基于情报的追踪取证,假定背后的攻击者短期内会以相同的开发源码进行迭代开发,基于这个前提,我们可以找到存在相似特征的恶意样本,而发现的相似样本又会给我们提供更多关于攻击者的认识。
基于情报的追踪取证也不仅限于针对高级黑客组织的威胁发现,也可以应用于发现常规的网络威胁活动,例如各种流行的僵尸网络、蠕虫木马、后门软件、黑客工具等,由于是流行的攻击活动,自然公开可见性要高于高级黑客的活动痕迹,利用已有的或者扩展获取的情报可以更好的完成威胁的发现与影响面排查,避免相同的威胁多次发生。而挖掘高级黑客组织的情报,需要对公开的信息进行积累扩展,一定程度可以监控组织是否被高级黑客组织攻击影响,在取证溯源中确定内部受控主机,及时止损。
经过一番搜索,找到了一个同样是该组织利用nim编写的木马加载器,分析后发现依然是采用nim语言编写的木马加载器,nim语言这几年被不少的红队采用用于防御规避手段,同样对于背后的攻击者来说也会关注到这一点,于是该黑客组织的nim木马加载器便出现了。新的木马加载器与之前利用C编写的加载器有明显不同的实现逻辑,鉴于此对其进行分析来了解攻击者的动向与策略以及是否可以获取到更多相关的样本进而获悉攻击活动频次。
海莲花(OceanLotus、APT32)APT团伙是一个高度组织化的、专业化的境外国家级黑客组织,其最早由国内安全厂商发现并披露。该组织至少自2012年4月起便针对周边地区国家政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。
经过公开报告的披露信息与历次参与取证溯源事件的结果也表明海莲花组织依然是在东南亚地区最为活跃的APT组织,其在2021年依然保持较高的活动频率。该组织的攻击包括网络间谍活动和商业情报窃取,同时该组织在近年来还被观察到在受害者主机上部署矿机程序,进行门罗币挖矿。此外,海莲花组织还具备发起供应链攻击的能力,并且能在入侵和横向移动过程中使用0day或Nday漏洞。
获取的第一个恶意文件的名称为ucsvc.exe,之后搜索发现存在第二个相似样本SwitchPlus.exe,木马的UTC编译时间为2022年3月30日1点32分,如果要具体到小时需要与攻击者所在的时区进行对应修改。
从VirusTotal提交时间与沙箱提交时间间隔很近也很可疑,表明用户一开始是想快速判断该文件是否恶意,从来源区域判定也确实是从国内地区提交的恶意文件,仅仅从提交的恶意文件便可判断背后往往存在针对国内地区相关的攻击活动痕迹。
经过分析后发现与之前发现的ucsvc.exe的相似度非常高,达到98.8%,由于是采用开源项目进行修改后开发的木马加载器,不能因此而立即下结论,也不排除因为采用同一项目的原因导致整体代码逻辑相似度很高,还需结合多个维度的痕迹进行综合判断背后相似关系。
SwitchPlus.exe执行逻辑中会解码base64数据,大小为0x52ABC。
base64解码成功,获取的数据大小为0x3E00B,如下。
接着逻辑进入到AES256解密shellcode过程,使用的AES密钥为:3A EE F0 E2 69 F2 CE 71 20 0A ED 89 2B B3 E0 A0 23 BF CE 05 19 0F A7 5E A5 EE CF 9A D7 FA 09 63,如下。
使用的IV值为:23 BF CE 05 19 0F A7 5E A5 EE CF 9A D7 FA 09 63,如下。
上述的base64解密与AES解密载荷的逻辑与之前提到的NimPackt项目逻辑很相似,但是该样本攻击者已做了一定的OpSec策略,并未找到关键字符串与shellycoat_x64数据。AES解密后继续异或解密得到shellcode,很明显的CobaltStrike的beacon特征,如下。
在上述shellcode解密完成后,接着创建新进程SyncHost.exe,依次调用如下API函数:
CreateProcess
suspenThread
kernel32.OpenProcess
kernel32.VirtualAllocEx
kernel32.WriteProcessMemory
kernel32.CreateRemoteThread
kernel32.CloseHandle
kernel32.CloseHandle
远程线程注入到SyncHost.exe中执行shellcode,下图为执行过程中的进程树。
上述远程线程注入完成后将退出母进程,导致进程链断裂,无法得知真实的恶意文件来源,站在应急取证的角度是不利的。由于是通用型的beacon,暂不深入调试后续逻辑,直接提取后解析beacon如下,得到C2为127.0.0.1:12193,从得到的C2地址也能发现,此时该恶意文件充当了内网环境跳板的作用,很可能攻击者利用TCP端口12193与内部其余受控机器进行交互通信,进一步表明攻击者也已有了横向移动的可能性,该恶意文件属于中间阶段驻留木马。
a8823ad5b907e7f9473585435e2ce43c(SwitchPlus.exe)
127.0.0.1:12193
原文始发于微信公众号(OnionSec):OceanLotus 高级黑客组织nim木马加载器SwitchPlus.exe分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论