事件概述
2022 年 6 月 15 日在追踪高级黑客组织的过程中发现了可疑的木马加载器,依据我们掌握的以往海莲花黑客组织的攻击情报,结合该恶意文件的上传地区为中国香港,且上传时间为 2022 年 6 月 15 日,虽然从恶意文件中提取的 C2 资产已失效,但经过 TTP 与提取的 C2 存活周期时间以及 2021 年中获取的攻击事件恶意文件 beacon 通信配置比对可追溯到可能为海莲花黑客组织 2021 年 6 月份前后的攻击活动,由于同时间出现另一个经过修改的恶意文件(实质为同一个恶意文件),经过恶意文件二进制层面比对后猜测疑似相关人员针对恶意文件进行研究修改,随后同时间上传 VirusTotal 检测从而出现了相关恶意文件。
组织背景
海莲花(OceanLotus、APT32)APT 团伙是一个高度组织化的、专业化的境外国家级黑客组织,其最早由国内安全厂商发现并披露。该组织至少自 2012 年 4月起便针对周边地区国家政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。
经过公开报告的披露信息与历次参与取证溯源事件的结果也表明海莲花组织依然是在东南亚地区最为活跃的 APT 组织,其在 2021 年依然保持较高的活动频率。该组织的攻击包括网络间谍活动和商业情报窃取,同时该组织在近年来还被观察到在受害者主机上部署矿机程序,进行门罗币挖矿。此外,海莲花组织还具备发起供应链攻击的能力,并且能在入侵和横向移动过程中使用 0day 或 Nday 漏洞。
样本分析
表1-2022年6月15日出现的恶意文件
表2-2022年6月15日出现的恶意文件
新发现的恶意文件文件名为 2qmA.exe,后续又出现了恶意文件 1.dll,经过二进制层面代码比对确认这两者属于同一个文件,恶意文件 2qmA.exe 属于被人为进行了特征修改而导致哈希与 1.dll 文件不同。
恶意文件 1.dll 的原始文件名为 vmwarebase.dll,经查询属于 VMware 的产品组件,VMware 程序目录下的正常 dll组件会存在数字签名,而恶意文件并未存在任何数字签名信息。
恶意文件在 VirusTotal 上传时间为2022年6月15日10点23分39秒(中国香港地区时区 UTC+8),上传地区为中国香港,结合之前持续跟踪积累的黑客组织信息,发现本次发现的恶意文件可能属于该黑客组织经常使用的木马加载器,所以在线检测时恶意文件规避效果很差。
获取完恶意文件的基础信息,我们可判断该恶意文件属于白加黑劫持攻击策略,不过需要进行更深一层的情报分析,最终目的是能获取该恶意文件来源区域并确认背后的攻击者攻击的地区以及攻击时间范围。
由于上传来源地区为中国香港,目前优先假设该恶意文件来源于国内地区。随后为了排除由于用户上传 VirusTotal进行可疑文件检测时并未处于国内,而是利用位于香港地区代理 IP 上传的场景,于是在国内云沙箱中进行搜索同样可以发现在相同时间存在上传提交分析记录。此时表明该恶意文件来自国内人员上传的可能性非常大,排除了由于代理 IP 造成的地区误报问题,且记录的末次分析时间也表明用户是先上传 VirusTotal 检测,后立即上传沙箱进行行为分析。
恶意文件 vmwarebase.dll 与历史出现过的木马加载器加载逻辑一致,判断当前加载的母体文件名是否与期望的文件名匹配,匹配成功后才能执行后续逻辑,之后采用劫持跳转的方式执行滑行指令来到核心函数。
第一阶段 shellcode 执行逻辑是会在目录 C:Windows 下创建释放加密的 shellcode 数据 system.bin,并修改文件的创建时间等元数据进行伪装,如下图。
接着创建子进程 dllhost.exe ,路径为 c:windowssystem32dllhost.exe。
分配内存大小 0xB538 的内存空间,远程线程注入dllhost.exe 执行第二阶段 shellcode。
第二阶段 shellcode 执行逻辑会通过导入密钥 AES 解密C:Windows 下创建加密的 shellcode 数据 system.bin 文件,如下图。
解密成功后最终得到的 shellcode 为 CobaltStrike 工具生成的 beacon 文件,利用解析工具可得到 beacon 配置信息。
之后母体进程利用 cmd 命令(
"C:WindowsSystem32cmd.exe" /K del /q /f system.bin )删除本地释放的加密数据文件 system.bin,如下图。
得到最终回连的 C2 地址为 82.148.14.166:443,不过目前已经失效,服务端不再响应。
该 C2 地址我们于 2022 年2月份已经获取并进行了情报标记入库,但经过安全产品的长期监控并未发现 2022 年至今国内用户存在外连行为。
分析溯源
基于开源威胁情报的调查追踪往往会缺失重要的相关上下文信息,这势必不可避免会在一定程度下影响调查结论的正确性,例如目前本次发现的恶意文件属于外部获取的信息,缺失了重要的针对目标属性,因此以下基于相关可见信息的调查溯源分析总体结论不能保证百分百正确无误,为了避免因分析人员先入为主的认知偏差,于是经过多个层面的分析汇总从而确认结论的可能性。
关联黑客组织
在考虑成本以及时间人员投入回报率的情况下,由于对恶意文件进行二进制代码层面修改进行伪装存在较大难度与成本,因此利用获取的恶意文件结合分析人员的历史经验在代码层面使用二进制代码相似性比对历史攻击活动出现的恶意文件可以得到该恶意文件背后关联了海莲花黑客组织,恶意文件同源属于较高置信度结论。
定位针对区域
依据外部平台可见信息的上下文信息不可篡改性,得知恶意文件来源的区域都属于中国地区,同时间也存在国内云沙箱的提交分析记录,且利用的恶意文件组件的编译时间均被进行修改而便于伪装,修改后的时间戳符合正常组件的时间,这与我们历史取证获取的海莲花黑客组织恶意文件的伪装策略一致,但由于时间戳修改的难度极低,因此被模仿的成本很低,元数据伪装策略匹配与上传来源区域均属于较低置信度结论。
对比逻辑行为
在恶意代码的逻辑行为上存在相似性,例如都采用判断当前加载母体文件名是否匹配期望的母体文件名逻辑来规避沙箱检测。这次获取的恶意文件也存在多组件释放攻击策略,这与去年挖掘发现的恶意文件实现策略类似,比如执行最终 shellcode 需要解密本地释放的加密数据文件,而只单单获取到恶意文件本体则无法后续分析获取更多信息,因此阻碍了安全分析人员的调查分析,这在一定程度上减少了黑客组织攻击活动的攻击暴露面,逻辑层面的伪装需要自行实现源码逻辑,结合实现难度因此会存在少量时间与人员投入,仍属于低置信度结论。
定位攻击活动时间范围
利用互联网可见的网络流量交互快照数据信息,可以很方便的定位 C2 存活周期,从而依据 C2 开始活跃时间大致定位攻击活动时间范围,先前我们已于2022年2月份在全网威胁情报分析挖掘中发现一批可疑 C2 资产,随后以中等置信度对 C2 资产进行了情报标记,入库时标记为海莲花黑客组织的网络资产,结合本次发现的恶意文件提取的C2 资产与先前入库资产吻合而再一次提高了相关结论的置信度,因此属于中置信度结论。
最后由于我们缺失重要的上下文信息,无法得知背后的受害组织或者单位,但依据上述从低置信度到高阶维度行为特征以及攻击目标区域的 TTP 比对,恶意文件背后关联的黑客组织可能为海莲花黑客组织,有一半可能属于 2021 年 6 月份前后针对国内地区的攻击活动。
IOCS
71137fc2763fc0c76e77d6d255f4a690(1.dll)
78ae1d97644848875ae203c1f8b58143(2qmA.exe)
82[.]148.14.166:443
https://82[.]148.14.166/viwwwsogou
原文始发于微信公众号(深信服千里目安全实验室):近期疑似海莲花组织攻击活动样本溯源分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论