【涨知识】海莲花利用MST投递远控木马

admin 2025年3月25日19:35:49评论13 views字数 908阅读3分1秒阅读模式
【涨知识】海莲花利用MST投递远控木马
一、概述
“海莲花”,又名“OceanLotus”,该APT组织是长期针对中国境内,且攻击活动十分活跃的组织。近期发现该组织使用了MSI文件滥用的新手法,将远程控制木马植入MST文件来修改MSI文件安装时的执行流程,在安装期间运行恶意代码。本文将展示该恶意木马的加载执行流程,并分析其加密通信过程。

二、样本加载流程
远程控制木马的加载过程,分为以下几个步骤:

1.恶意木马首先通过伪装成文档文件的LNK文件启动;

2.LNK调用执行正常安装白文件MSI文件,同时在参数中指定加载恶意MST文件;

3.MST文件中的恶意代码执行后,会释放并打开诱饵DOC文档,修改启动项实现持久化,并释放白可执行文件和恶意DLL文件;

4.白文件执行后加载恶意DLL文件,在内存中加密释放恶意ShellCode并执行;

5.恶意ShellCode执行远程控制功能,和远程C&C服务器进行加密通信

【涨知识】海莲花利用MST投递远控木马

图1:攻击流程图

三、加密通信分析
样本通信基于TLS协议,在TLS协议之上使用HTTP协议,通信时样本通过POST方式请求固定的URL“/resources/gfx/tradewinds”,在HTTP载荷中传输通信内容。HTTP载荷自定义加密格式,使用的加密算法为XOR加密,密钥每次通信随机生成并在通信中随加密数据一起发送。自定义加密格式构造为“2字节密钥长度+随机密钥+4字节加密数据长度+加密数据”。HTTP载荷自定义加密格式如下图。

【涨知识】海莲花利用MST投递远控木马

图2:HTTP载荷自定义加密格式

四、检测告警
目前,观成瞰云-加密威胁智能检测系统已经支持对该远程控制木马进行有效检出,检测告警见下图。

【涨知识】海莲花利用MST投递远控木马

图3:详细告警信息

五、总结
此次攻击活动中,海莲花组织使用TLS协议作为通信协议。通信的载荷数据采用了XOR加密,加密使用了动态密钥,密钥随流量传输。此次分析的木马的通信过程与海莲花组织以前使用的武器有所变化,在加密算法上未使用常规AES加密,而是采用了较简单的XOR加密,但在加密通信构造上依然延续了该组织惯用手段。观成科技安全研究团队将持续对海莲花APT组织进行关注,及时更新维护对该组织的检测策略。

 

原文始发于微信公众号(北京观成科技):【涨知识】海莲花利用MST投递远控木马

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月25日19:35:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【涨知识】海莲花利用MST投递远控木马https://cn-sec.com/archives/3883298.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息