海莲花组织疑似针对越南地区攻击文件深度分析

上个月深信服安全蓝军高级威胁研究团队在日常发现与追踪高级黑客组织的过程中，于外部 VirusTotal 渠道发现一例从越南地区上传的可疑文件，上传时间为 2022 年 2 月14 日，上传提交时原始文件名为 ggg.dll，查看 community 字段后发现，该文件提交来源于已经登录的 VirusTotal 用户。经过对代码同源性进行分析，表明该文件是属于之前追踪并持续关注的海莲花组织团伙的落地攻击文件，但是在深度分析中发现该文件新增的部分逻辑存在未完成的痕迹，与以前存在代码同源性的众多攻击文件明显不同。由于该文件在互联网上并未搜索到公开的相关结果，从提交来源是越南地区来看，我们可以得出以下两种猜测（下述猜测是依据能获取的相关信息进行归纳总结提炼，并不确保 100% 正确，望知悉）：

1. 恶意文件是该组织针对越南地区的攻击文件；

2. 该组织存在相关关系的成员有可能无意间泄露了还未发布的测试文件（由于针对二进制层面的逻辑修改补丁难度极高，可以推测相关成员是能接触到明文源码的人群）；

在获取到该文件后本地分析时发现无法对其进行动态调试，例如存在以下报错信息。从这里我们可以发现恶意文件本身是不符合PE文件规范的，外部程序 ollydbg 无法加载调用 dll 成功。

接着换用 x32dbg 调试，直接提示无效的 PE 文件。

对 PE 文件结构进行深度分析后，我们手工修复了错误的结构，最终使其可以成功开启动态调试，后续在 VirusTotal 搜索发现并没有该修复文件提交记录，排除了人为恶作剧的可能性。

该恶意文件的原始文件名为 ftnlapi.dll，经过对恶意文件的分析可以发现这是 VMware产品相关的组件，该恶意 dll 文件的加载白文件母体为 vmwsprrdpwks.exe ，内嵌的互斥量为 “5b58b928-637e-40ae-aae6-1b10d611c4d6” 。

第一阶段的 shellcode 位于该恶意文件的资源数据区域，如下是恶意文件开始读取资源数据分配内存空间存放 shellcode。

以下的恶意代码逻辑里出现了并未执行的逻辑（猜测属于测试阶段，将 “vcbs to bs to can to be or key byte tlele” 复制到某处充当密钥？），以及在该样本中发现的新增shellcode 解密逻辑（该处逻辑对第一阶段 shellcode 进行解密）以及多余的代码逻辑。

利用上述的解密逻辑，我们可以直接手工将位于资源数据区域的 shellcode 进行解密得到第一阶段 shellcode，转换为 Python 代码如下：

在对后续逻辑进行调试分析后发现该恶意文件依然属于海莲花采用的定制化攻击文件策略，最终需要获取受害机器的计算机名称值作为密钥才能解密后续的第二阶段 shellcode 。

以下的第一阶段 shellcode 并未添加经常使用的 Shikata Ga Nai 编码混淆器，这也是之前发现的众多样本中采用的 shellcode 代码。

获取本机计算机名称计算 md5 值，作为后续的解密密钥，计算机名称不正确会解密失败则无法执行后续的第二阶段 shellcode，最后直接退出进程。

947bf6dfc09080d88e5bb968fda5f8da（ftnlapi.dll）