该组织是一个有政府背景的境外黑客组织,攻击目标主要是东亚国家的企业和政府部门,从2011年中国就遭受到了海莲花组织的网络攻击,自2015年360曝光海莲花以来,该组织仍未停止过对我国的攻击,360高级威胁研究院一直持续跟进监测海莲花组织的最新攻击。
海莲花在样本侧攻击多使用劫持侧加载的方式进行攻击,例如使用Windows Defender、Word,或是系统缺省文件来加载恶意载荷。并使用远程服务或是远程任务计划的方式来启动白文件。
模块侧加载(白利用)
白名单文件的动态库侧加载(DLL搜索顺序劫持)技术(以下简称:白利用),是海莲花打造恶意载荷的核心攻击技术。下图为被高频利用的白文件统计,在今年上半年年统计中,被频繁利用的是金山杀毒相关组件、Steam 错误报告程序和网易云相关组件。可以看见其他安全软件相关的可信文件,被伪装和利用次数也都排在前列,由于安全厂商的及时跟进,切断了部分白利用的链条。
当此组织常规化使用这种启动方式以后,经过持续追踪统计,可以明显的看到他们不局限于一种常用的白利用文件:通过对抗技术的不断升级,攻击方式更新为“广撒网”,由被白利用文件类别的总量少,单类别次数多;演化为:被利用文件类别的总量多,次数少。加上修改白利用文件的名称,更增加了迷惑性,增加了存活率,加大了追踪难度。
![海莲花白利用持久化新型组合攻击方式]( "海莲花白利用持久化新型组合攻击方式")
在日常狩猎海莲花攻击时,我们发现海莲花组织攻入企业内部后,滥用白利用技术,进行持久化驻留。配合横移技术以后,为了持久化驻留,使用了一个新的白利用驻留模式。
②使用攻陷的内网管控端,通过SMB/RPC建立与目标内网终端的远程服务连接。
③收集内网终端应用服务信息,同时收集其他可用于定制化的信息,例如:内网IP段,MAC地址,HostName等。
④将定制化后门模块下发至目标内网终端的指定目录中。
![海莲花白利用持久化新型组合攻击方式]( "海莲花白利用持久化新型组合攻击方式")
当内网终端原有任务计划启动服务时,相当于启动了白利用后门组合文件。
根据我们对攻击过程的观察和分析,发现海莲花选择的目标服务主要是非系统服务,例如谷歌更新服务GoogleUpdate.exe,Adobe更新服务armsvc.exe。这些服务即使被替换也不会影响应用程序的正常使用。
由于没有创建新服务项或修改原服务项的配置信息,仅替换原服务的可执行文件,用于替换的白文件也是可信文件,相当于模拟了一次应用程序文件升级的过程,以此来逃避安全软件的筛查。
新旧白利用方式横向对比
以往海莲花在使用白利用手法攻击时,大多是通过远程服务或远程任务计划启动白利用组合文件。当内网终端被远程连接时,会留下相关痕迹。并且无法持久化控制白利用组合文件的启动。
本次使用的新方式,利用了被攻击者系统中已存在的正常程序(服务)的任务计划来定时启动白文件加载后门模块,同时实现了持久化驻留的目的。避免了因远程服务连接而留下痕迹的缺点。
![海莲花白利用持久化新型组合攻击方式]( "海莲花白利用持久化新型组合攻击方式")
360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
本文始发于微信公众号(360威胁情报中心):海莲花白利用持久化新型组合攻击方式
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/432330.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论