“海莲花”,又名“OceanLotus”,该APT组织是长期针对中国境内,且攻击活动十分活跃的组织。近期发现该组织使用了MSI文件滥用的新手法,将远程控制木马植入MST文件来修改MSI文件安装时的执行流程,在安装期间运行恶意代码。本文将展示该恶意木马的加载执行流程,并分析其加密通信过程。
远程控制木马的加载过程,分为以下几个步骤:
1.恶意木马首先通过伪装成文档文件的LNK文件启动;
2.LNK调用执行正常安装白文件MSI文件,同时在参数中指定加载恶意MST文件;
3.MST文件中的恶意代码执行后,会释放并打开诱饵DOC文档,修改启动项实现持久化,并释放白可执行文件和恶意DLL文件;
4.白文件执行后加载恶意DLL文件,在内存中加密释放恶意ShellCode并执行;
5.恶意ShellCode执行远程控制功能,和远程C&C服务器进行加密通信。
图1:攻击流程图
样本通信基于TLS协议,在TLS协议之上使用HTTP协议,通信时样本通过POST方式请求固定的URL“/resources/gfx/tradewinds”,在HTTP载荷中传输通信内容。HTTP载荷自定义加密格式,使用的加密算法为XOR加密,密钥每次通信随机生成并在通信中随加密数据一起发送。自定义加密格式构造为“2字节密钥长度+随机密钥+4字节加密数据长度+加密数据”。HTTP载荷自定义加密格式如下图。
图2:HTTP载荷自定义加密格式
目前,观成瞰云-加密威胁智能检测系统已经支持对该远程控制木马进行有效检出,检测告警见下图。
图3:详细告警信息
此次攻击活动中,海莲花组织使用TLS协议作为通信协议。通信的载荷数据采用了XOR加密,加密使用了动态密钥,密钥随流量传输。此次分析的木马的通信过程与海莲花组织以前使用的武器有所变化,在加密算法上未使用常规AES加密,而是采用了较简单的XOR加密,但在加密通信构造上依然延续了该组织惯用手段。观成科技安全研究团队将持续对海莲花APT组织进行关注,及时更新维护对该组织的检测策略。
原文始发于微信公众号(北京观成科技):【涨知识】海莲花利用MST投递远控木马
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3883298.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论