Genel Bakış
Antiy CERT (Güvenlik Araştırma ve Acil Müdahale Merkezi), Aralık 2018'den bu yana Çinli kullanıcılara karşı bir dizi kötü amaçlı makro belge saldırısı örneği yakaladı. Bu kötü amaçlı belgeler, virüsten koruma yazılımının güvenlik algılama sonuçlarını belirsiz metin arka planında gizledi, kurbanı kötü amaçlı makro kodunu etkinleştirmeye, Shellcode'u Word işleminin kendisine enjekte etmeye ve sonunda bellekteki arka kapı programının şifresini çözüp çalıştırmasına neden oldu. Arka kapının derinlemesine analizine dayanarak, numunenin SeaLotus organizasyonundan geldiğini bulduk.
Antiy, 27 Mayıs 2015'te organizasyonla ilgili bir analiz raporu yayınlayarak sektörün organizasyona sürekli dikkatini çekti. O sırada Antiy tarafından ele geçirilen saldırı göz önüne alındığında, saldırganın ticari saldırı platformu Cobalt Strike'ı kullandığı ve Antiy'in bunu APT-TOCS (CS platformu yardımıyla APT saldırı organizasyonu) olarak adlandırdığı, ancak CS kullanımının yalnızca saldırı olduğu keşfedildi. Organizasyonun bir özelliği ve organizasyonun isimlendirmesinin coğrafi özelliklerinin olmaması, bu nedenle sonradan Youshang 360 - "Deniz Lotus" adını aldık.
Bu sefer bulunan örnek, Aralık 2018'de ESET tarafından açığa çıkarılan OceanLotus özel arka kapıya çok benziyor. Arka kapı örneğinin C2'sini ilişkilendirerek, arka kapıyı kendi kendine ayıklanan kötü amaçlı programlar aracılığıyla yayan daha fazla örnek bulduk. Örneklerden bazıları Çin içindir ve daha fazla örnek Kamboçya ve diğer ülkeler içindir. Kendi kendine ayıklanan örneklerin yayılması için arka kapının bir parçası olan C2, doğrudan bilinen OceanLotus organizasyonunun ağ altyapısına bağlıdır.
Özel arka kapı ile ağ altyapısı arasındaki güçlü ilişkiye dayanarak, bu örneklerle ilişkili saldırıların OceanLotus APT organizasyonu tarafından gerçekleştirildiğine inanmak için nedenimiz var.
Örnek analiz
2.1 Örnek etiket
İlgili saldırı yüklerinin tümü Word belgeleridir, ancak hiçbir güvenlik açığı kullanılmaz. Bunun yerine, içine kötü amaçlı makro kodu yerleştirir, makro kodu aracılığıyla sonraki kötü niyetli eylemleri tetikler ve son olarak hedef ana bilgisayara bir arka kapı yerleştirir.Bu, bir süredir daha popüler bir yol olmuştur. Kurbanın makro kodunu etkinleştirmesini sağlamak için, saldırgan, kullanıcıyı kötü amaçlı makro kodunun yürütülmesini tetiklemek için "içeriği etkinleştir" seçeneğini tıklatmaya teşvik etmek için belgenin gövdesinde aldatıcı bir içerik kullanır. Bu örnek grubundaki istihbarat etiketlerinin ikisini sıralıyoruz:
Tablo 21 Kötü amaçlı belge 1
Virüs adı Trojan / Win32.VB.dropper Orijinal dosya adı 2018 şirket özet raporu için ek öneriler.doc Dosya boyutu 2,03 MB (2.127.360 bayt) dosya formatı Belge / Microsoft.Word Oluşturma zamanı 2018-12-2603:53:00 Son düzenleme 2018-12-2603:53:00 Belge oluşturma ana bilgisayar adı Yönetici Kod sayfası Latince ben VT ilk yükleme zamanı 2019-03-0704:44:06 VT test sonuçları 10/55 Tablo 22 Kötü amaçlı belgeler 2
Virüs adı Trojan / Win32.VB.dropper Dosya boyutu 2,94 MB (3.083.776 bayt) dosya formatı Belge / Microsoft.Word Oluşturma zamanı 2019-01-2402:39:00 Son düzenleme 2019-01-2402:39:00 Belge oluşturma ana bilgisayar adı Yönetici Kod sayfası Latince ben VT ilk yükleme zamanı 2019-03-0806:47:27 VT test sonuçları 10/59 2.2 Teknik analiz
İlgili belge örnekleri, 360 Anti-Virus'un güvenlik algılama sonuçlarını gizlemek için sosyal mühendislik tekniklerini kullanır ve kurbanı ekli kötü amaçlı makroyu etkinleştirmeye teşvik eder.Metin içeriği Şekil 2-1 ve Şekil 2-2'de gösterilmektedir.
Şekil 2-1 Kötü amaçlı belgenin ekran görüntüsü 1 Şekil 2-2 Kötü amaçlı belgenin ekran görüntüsü 2Kötü amaçlı örnek, gizlenmiş vb komut dosyasını içerir. Gizleme kaldırıldıktan sonra, bu komut dosyasının işlevinin:
1. Mevcut dosyayı% temp% klasörüne kopyalayın.
2. İkinci komut dosyasını edinin ve şifresini çözün ve kayıt defterine yazmaya çalışın ("HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ 14.0 \ Word \ Security \ AccessVBOM"). Bu kayıt defterinin değeri 1 olduğunda, aşağıdaki şekilde gösterildiği gibi belgenin vb modülüne erişmesine ve değiştirmesine izin verilir:
Şekil 2-3 Kayıt defterini okuyun ve değiştirin3. Kopyalanan belgeyi% temp% altında açın, belgedeki mevcut vb modülünü kaldırın ve yeni bir modül yazın (Şekil 2-4):
Şekil 2-4 Kopyalanan dosyayı değiştirin4. Kopyalanan belgeyi açın ve aşağıdaki şekilde gösterildiği gibi vb modülündeki "x_N0th1ngH3r3" işlevini çağırın. Bundan sonra, kötü amaçlı belge Şekil 2-5 ve Şekil 2-6'da gösterildiği gibi yanlış bir mesaj görüntüler:
Şekil 2-5 vb işlevini çağırma Şekil 2-6 Yanlış haberlerin görüntülenmesiİkinci komut dosyasının ilk komut dosyasıyla birçok benzerliği vardır. Üçüncü komut dosyasının şifresi çözülür ve ardından kayıt defterini ayarlayarak kendi vb kaynaklarını değiştirme yeteneğini elde eder ve üçüncü komut dosyasını belgenin kendisine ekler:
Şekil 2-7 İkinci komut dosyasının ana işlevleri (komut dosyası gizlenmiştir)Üçüncü komut dosyası, kabuk kodunun şifresini çözer ve onu winword.exe işlemine enjekte eder. Komut dosyası giriş işlevi hala "x_N0th1ngH3r3" olarak adlandırılıyor. Bu işlev 64 bit ve 32 bit süreçleri ayırt edecek ve işlem enjeksiyonu için uygun yöntemleri kullanacaktır:
Şekil 2-864 bit işlem enjeksiyonu için ön hazırlıklar Şekil 2-932 bit işlem enjeksiyonu için ön hazırlıklarİşleme enjekte edilen kod 908 KB'dir (929.792 bayt). Derinlemesine analizin ardından, bu enjekte edilen kodun son arka kapı programının yürütülmesine rehberlik edeceği bulundu. Arka kapı Aralık 2018'de ESET tarafından açığa çıkarıldı ve OceanLotus tarafından geliştirilip kullanıldı. .
Arka kapı programının orijinal adı "{A96B020F-0000-466F-A96D-A91BBF8EAC96} .dll" dir, aşağıdaki şekle bakın:
Şekil 2-10 Bellekteki arka kapı programı bilgileriArka kapı ilk olarak başlatılır, kaynak bölümü RCData'yı belleğe yükler ve yapılandırma verilerinin ve kitaplık dosyalarının şifresini çözer:
Şekil 2-11 Arka kapı kaynak bölümünde bulunan RC4 şifreli verilerŞifresi çözülen veri içeriği:
Şekil 2-12 Şifresi çözülmüş konfigürasyon verileri ve bellekteki kitaplık dosyalarıŞekil 2-12'de yukarıdan aşağıya içerikler şunları temsil eder:
1. Kayıt defteri konumu:
HKEY_CURRENT_USER \ Software \ App \ AppX70162486c7554f7f80f481985d67586d \ Uygulama HKEY_CURRENT_USER \ Software \ App \ AppX70162486c7554f7f80f481985d67586d \ DefaultIconBu iki kayıt defterinin anahtar değeri, C2 arka kapısı tarafından kurban ana bilgisayara döndürülen benzersiz UUID'yi oturum kimliği olarak depolar. Gerçek hata ayıklamayı bir örnek olarak alın: 32034d33-aecc-47d4-9dcd-f0e56063087f.
2. httpprov kitaplık dosyası, C2 ile iletişim kurmak ve libcurl ile statik olarak bağlantı kurmak için HTTP / HTTPS / SOCKS'yi desteklemek için kullanılır.
Başlatma tamamlandıktan sonra arka kapı, sırasıyla HTTP protokolü POST yöntemi aracılığıyla C2 listesindeki kullanılabilir C2 ile iletişim kurmaya başlar. HTTP iletişimi için Kullanıcı Aracısı: 'Mozilla / 4.0 (uyumlu; MSIE 8.0; Windows NT 6.0; Trident / 4.0)'.
Şekil 2-13 C2 ile arka kapı iletişimi için Sabit Kodlu Kullanıcı Aracısı3. Arka kapı, kurban ana bilgisayar için bir parmak izi oluşturur. Desteklenen işlevleri şunları içerir: işlem işlemi, kayıt işlemi, sabit disk bilgilerine erişim, yerel dosya işlemi, programların yayınlanması ve yürütülmesi, bellek yerleştirme, vb. ESET tarafından sunulan önceki sürümden çok farklı değildir. Çeşitlilik. Aşağıdaki şekilde gösterildiği gibi, 0 × 1 durumu dosyaları taşır, 0 × 3 durumu sabit disk bilgilerini alır ve 0, 2, 4 ve 5 durumları ayrıca şunları içerir: 0xe dosya geçişi, 0xf dosyaları silme, 0 × 12 klasör oluşturma, 0 × 13 Klasörü silin.
Şekil 2-14 Arka kapı talimat dalıBu sefer yakalanan OceanLotus örneğinin teknik anlamda belirli bir iyileştirme derecesi vardır.Makro kod, Shellcode enjeksiyonu için kullanılır ve teslimat yükü tüm süreç boyunca dosyalanmaz.O OceanLotus'un kendi saldırı yöntemlerini hala aktif olarak güncellediği görülebilir. Kendinizi daha fazla gizleyin ve ardından kurban makinesinde daha uzun süre gizlenmeye çalışın.
3. İlişki analizi
C2: 45.122. ***. *** arka kapının tek IP'sini analiz ederken, bu IP'nin ana Adobe Reader programı gibi görünen kötü niyetli, kendi kendine ayıklanan bir program olan AcroRd32.exe tarafından bir C2 bağlantısı olarak kullanıldığını fark ettik:
Şekil 3-1 C2 arka kapısıyla ilişkili kendiliğinden açılan programRAR kendi kendine ayıklanan program yüklendiğinde, dosya adı "Li Jianxiang (Resume) .exe" idi ve son değişiklik zamanı kötü amaçlı belgeye 1 daha yakındı ve simge AdobeReader olarak gizlendi. Çalıştırdıktan sonra, "regsvr32" komutu ile kötü amaçlı kontrolü kaydedin ve çalıştırın ve ardından şifrelenmiş Çince PDF belgesini açın.Şifre şu anda elde edilmediğinden, metin içeriği bilinmemektedir, ancak PDF belgesinin kötü niyetli olmadığı görülmektedir.
Şekil 3-2 C2 ile ilgili olarak Aralık 2018'de Çin'e yapılan saldırının kendi kendine ayıklanan örneğiÖrnek ilişkilendirme yoluyla, aynı yöntemin Kamboçya gibi ülkelerden daha önce kendi kendine ayıklanan örneklere saldırmak için kullanıldığını gördük:
Şekil 3-3 Temmuz 2018'de Vietnam'a yapılan aynı saldırının bir örneği Şekil 3-4 Kamboçya tarafından Ağustos 2018'de VirusTotal platformuna aynı yöntemle yüklenen kötü amaçlı bir örnek Şekil 3-5 Ocak 2019'da bilinmeyen hedeflerle aynı tekniğin bir örneğiŞimdiye kadar bulunan tüm ilgili kendi kendine ayıklanan örneklerin simgeleri Adobe Reader, Office ve resimler vb. Olarak gizlenmiştir. Bazı örneklerin dosya adları da şu şekilde gizlenebilir: "AcroRd32.exe", "Excel.exe", "WinWord.exe" Bekle:
Şekil 3-6 Örnek kendi kendine ayıklanan programın simge gizliliğiİçerdikleri resimler ve Word belgeleri de normal dosyalardır ve görevleri, kötü amaçlı yükü başarıyla çalıştırdıktan sonra kurbanın dikkatini dağıtmaktır.
Tüm kendi kendine ayıklanan örneklerde bulunan kötü amaçlı OCX denetiminin rolü, bellekteki son arka kapının şifresini çözmek ve çağırmaktır. Çıkarılan tüm arka kapı örneklerini Bölüm 2'deki kötü amaçlı belge tarafından yayımlanan arka kapı ile karşılaştırır ve hepsinin olduğunu buluruz Oldukça tutarlı, temelde aynı kaynağı doğrulayabilir. Arka kapı C2'lerinden bazıları OceanLotus organizasyonunun bilinen ağ altyapısına bağlıdır: 154.16. ***. *** Bu IP, birçok güvenlik sağlayıcısı tarafından defalarca açığa çıkarılmıştır ve OceanLotus organizasyonu tarafından uzun süre korunmakta ve kullanılmaktadır.
özet
Yukarıdaki analiz sayesinde, OceanLotus organizasyonu yakın gelecekte aktif kalmıştır. Kötü amaçlı makro dosyaların ve kendi kendine açılan programların yayınlanması yoluyla Çin'deki ve hatta Güneydoğu Asya'daki birçok ülkede kullanıcılara karşı saldırılar başlattı ve nihayet, hedefin ve bilgi hırsızlığının uzun vadeli kontrolünü sağlamak için OceanLotus organizasyonunun özel arka kapısını yaydı. Kullanılan arka kapı silahlarının ve ağ altyapısının özelliklerinin analizinden (bazıları doğrudan OceanLotus organizasyonunun bilinen ağ altyapısına bağlıdır), ilgili kanıtlar bu örneklerin OceanLotus saldırı organizasyonundan geldiğini gösterebilir.
Daha önce "2018 Siber Tehdit Yıllık Raporu (Ön Sürüm)" 'de belirttiğimiz gibi, "APT saldırılarının analiz ve teşhir yoluyla kuruluşlar üzerindeki yakınsamasını zorlamanın" mevcut etkisi büyük ölçüde azaltıldı. İlgili saldırganlar, C2 altyapı adreslerini zaten ifşa etti. , Devam eden kullanım açık bir kanıttır. Bir yandan dağa vurmaktan ve kaplanı sallamaktan vazgeçebiliriz, düşmanın illüzyondan uzaklaşmasını sağlayabiliriz; diğer yandan da gelişmiş tehdit aktörlerinin genel yeteneklerini, saldırgan davranışların açığa çıkmasını artırarak analiz ve daha fazla avlanma sağlar. Belirli fırsatlar ve koşullar.
Antiy'nin ürün sistemi, uzun vadeli kendi geliştirdiği AVL SDK "yeni nesil anti-virüs motoru" aracılığıyla tam format tanıma ve derinlemesine analiz, bileşik belge sökme ve makro çıkarma işlemlerini gerçekleştirir; akıllı terminal savunma sistemi, ana bilgisayar tarafında birden çok savunma noktasında uygulanır Algılama ve önleme; deniz keşfi tehdit algılama sistemi, trafik tarafında saldırı davranışı algılama ve yük yakalama algılama analizi uygular; her bağlantıda bulunan bilinmeyen dosyalar, gölge sanal alanı ve çıktı tehdit istihbarat kuralları ile birlikte analiz edilebilir. Yönetilebilir bir ağ sisteminde, benzer seviyelerdeki saldırılarla daha iyi başa çıkabilir. Antiy'nin mevcut ürünlerinin müşterileri, "Gelişmiş Tehdit İzlenebilirlik Paketi" ne abone olarak daha fazla geriye dönük risk araştırması yapabilir. Bununla birlikte, daha yüksek bir saldırı seviyesiyle başa çıkmak için, genel saldırıları gerçekleştirmek, düşmanın durumunu kontrol etmek ve yanıtları koordine etmek için gerçek savaşta çalışan taktik bir durumsal farkındalık platformuna ihtiyaç vardır.
Ek 1: Referans Malzemeler
Antiy: Çinli bir organizasyona karşı APT benzeri bir saldırıda kullanılan bir örneğin analizi
https://www.antiy.com/response/APT-TOCS.html
ESET: OceanLotus Eski teknikler, yeni arka kapı
https://www.welivesecurity.com/wp-content/uploads/2018/03/ESET_OceanLotus.pdf
Şüpheli "Ocean Lotus" örgütünün yerel üniversitelere yönelik erken saldırılarının analizi
https://ti.360.net/blog/articles/oceanlotus-targets-chinese-university/
* Yazar: antiylab, FreeBuf.COM'dan yeniden basılmıştır.