ปลอมหรือจอมปลอม: ติดตามเหยื่อล่อ OceanLotus | ||||||||||||||||||||||||||||||||||||||||||
บทความนี้จักอธิบายก่อนแหวกลุ่ม OceanLotus (หรือแห่งหนรู้จักกันแห่งชื่อ APT32 และ APT-C-00) ชดใช้ช่องโหว่ช่องโหว่หน่วยความจำเสียหายใน CVT-2017-11882 แปลนสาธารณะหรือไม่ซอฟต์แวร์กับวิธีการที่มัลแวร์ OceanLotus ประสบผลในการหลงเหลืออยู่ของระบบที่ถูกบุกรุกเพราะไม่ทิ้งร่องรอยไร ๆจากนั้นบทความอธิบายว่าตั้งแต่ต้นปี 2562 หมู่ได้ใช้ประโยชน์จากคลังข้อมูลที่ขยายตัวเองเพื่อที่จะเรียกใช้รหัส |บริบทบริบท |กำลังติดตาม OceanLotus19;กิจกรรมถือเอาว่าการทัวร์ในโลกแห่งการลวงลวงกลุ่มนี้เป็นที่รู้จักกันดีแห่งการล่อเหยื่อโดยการปลอมแปลงเอกสารแห่งหนน่าดึงดูดเพื่อจะล่อลวงผู้ที่อาจเป็นเหยื่อแห่งการดำเนินการลับๆของกลุ่มสถานที่ 19 และสร้างไอเดียใหม่ ๆ เพื่อกระจายคณะเครื่องมือของร่างกายเทคนิคที่ใช้คืนในการล่อนั้นมีตั้งแต่ไฟล์สถานที่เรียกว่า double extensions, งานแตกไฟล์ที่ตัวและแฟ้มข้อมูลที่เปิดใช้งานลงมาโครไปจวบจนถึงการใช้ช่องโหว่ที่รู้จักกันใหม่ยิ่งไปกว่านั้นพวกเขากระตือรือร้นมากและยังคงบุกเข้าไปโจมตีเหยื่อผู้เคราะห์ร้ายที่พวกเขาชื่นชอบซึ่งดำรงฐานะประเทศในเอเชียตะวันออกเฉียงใต้ |รวมความการใช้ประโยชน์จากเครื่องมือแก้สมการ|ในกลางปี ??2018OceanLotus ดำเนินการรณรงค์โดยใช้คืนเอกสารที่ละเมิดจุดอ่อนที่ประเจิดประเจ้อโดย CVE-2017-11882อันที่จริงประกอบด้วยการพิสูจน์ถึงแนวคิดหลายประการช่องโหว่นี้อยู่ในชิ้นส่วนที่รับผิดชอบในการสร้างและเยียวยาสมการทางคณิตศาสตร์เอ็ดในเอกสารแห่งเป็นอันตรายที่ใช้โดย OceanLotus ถูกพินิจพิจารณาโดย 360 Threat Intelligence Center (ภาษาจีน) และประกอบด้วยรายละเอียดเกี่ยวกับการหาประโยชน์ลองดูแห่งเอกสารที่ละม้ายกัน |ขั้นตอนจำเดิม|เอกสารตรงนี้ FW รายงานการสาธิตสิ่งของอดีต CNRP แห่งสาธารณรัฐเกาหลีมันสมองdoc ( SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3 ) มีลักษณะคล้ายกับ CNRP ในสาธารณรัฐประเทศเกาหลีหนึ่งแห่งหนกล่าวถึงในบทความข้างต้นกับน่าสนใจเพราะมันครอบครองเป้าหมายสรรพสิ่งผู้คนแห่งหนสนใจการเมืองกัมพูชา (CNRP 13; พวกกู้ภัยแห่งชาติกัมพูชา 13; พรรคการเมืองถูกยวบๆในสิ้นปี 2560)แม้จักมีชื่อสกุล. doc งานพิมพ์จริง ๆ ต่อจากนั้นในรูปแบบ RTF (ดูตัวที่ 1) ประกอบด้วยกลุ่มเศษจำนวนมากและยังมีรูปแบบแห่งหนไม่ตรงเผง |รูปที่ 1 14; ช่องดองขยะ RTF ขนาดที่จะมีองค์ประกอบสถานที่มีรูปแบบไม่ตรงเผง Word ก็สามารถรั้งขึ้นไฟล์ RTF ตรงนี้ได้บังเกิดผลตามที่เห็นในร่างกายที่ 2 ร่างกายที่ offset 0xC00 มี EQNOLEFILEHDRโครงสร้างตามด้วยส่วนหัว MTEF และหลังจากนั้นบันทึก MTEF (ตนที่ 3) เนื่องด้วยแบบตัวอักษร |รูปแห่ง 2 14;ค่าทะเบียน FONT การเอ่อล้นในฟิตัดทอน์ ชื่อ เป็นไปได้เนื่องจากขนาดของเลี่ยนคือ 19 ไม่ไหวตรวจสอบก่อนที่จะคัดลอกชื่อที่แถวเกินไปจักทำให้เกิดช่องโหว่ดังที่มองเห็นในแก่นสารไฟล์ RTF (ชดเชย 0xC26 ในตนที่ 2) บัฟเฟอร์เต็มไปด้วย shellcode ติดตามด้วยการเลื่อน NOP (0x90) กับที่อยู่ผู้ส่ง 0x402114 ที่อยู่นั้นเป็นอุปกรณ์ณ EQNEDT32.exe ชี้เจียรที่คำประกาศิต RET ผลลัพธ์นี้ใน EIP ชี้ให้เห็นไปแห่งจุดเริ่มต้นสรรพสิ่งฟิลด์ ชื่อ ซึ่งมีเชลล์โค้ด |รูปแห่งหน 4 14; เริ่มงานของ shellcode ที่อยู่ 0x45BD3C จัดเก็บตัวแปรที่ถูกยกเลิกการอ้างอิงจนกว่าจักถึงตัวแสดงไปยังแบบสร้าง MTEFData ที่โหลดอยู่ที่ปัจจุบันนั่นถือเอาว่าที่ที่กาบหอยส่วนที่เหลืออยู่ |วัตถุประสงค์ของ shellcode คืองานดำเนินการ shellcode ชิ้นที่สองซึ่งฝังอยู่ในเอกสารที่รั้งขึ้นอยู่ก่อนอื่น shellcode เริ่มต้นพากเพียรค้นหาหมายเลขคำอธิบายเพิ่มเติมของไฟล์เอกสารที่เปิดอยู่โดยวนย้ำการจัดการทั้งสิ้นของ system19 (s NtQuerySystemInformation ด้วยอาร์กิวเมนต์ SystemExtendedHandleInformation ) ด้วยกันตรวจสอบว่า handle19; s PID ตรงๆกับ PID ของกรรมวิธี WinWord และหากสิ่งพิมพ์ถูกเปิดพร้อมด้วยมาสก์การเข้าถึงต่อไปนี้: 0x12019F มันสมองเพื่อยืนยันดุพบหมายเลขเชิงอรรถที่ถูกต้องไม่ใช่เช่นนั้นหมายเลขอ้างอิงสิ่งของเอกสารเปิดอื่นเนื้อหาของไฟล์จักถูกแมปด้วยฟังก์ชัน CreateFileMapping ด้วยกัน shellcode ตรวจสอบว่าสี่ไบต์สุดท้ายของงานพิมพ์เป็น 1C หรือไม่span> ปปปป 1C ;;กลเม็ดนี้เรียกว่า 1C; Egg Hunting1D;เมื่อพบการจับคู่เอกสารจักถูกคัดลอกจากไปยังโฟลเดอร์ชั่วคราว ( GetTempPath ) ดำรงฐานะ ole.dll จากนั้น 12 ไบต์สุดท้ายของเอกสารจะถูกอ่าน |รูปสถานที่ 5 14 เครื่องหมายที่ชายเอกสาร ค่า 32- บิตระหว่าง AABBCCDD และ yyyy เครื่องหมายได้ผลชดเชยให้กับดัก shellcode ถัดไปมันถูกเรียกใช้เพราะว่าใช้ CreateThread ฟังก์ชั่น shellcode ที่แตกออกมานั้นเป็นแบบเดียวกับแห่งหนกลุ่ม OceanLotus ใช้มาระยะหนึ่งหลังจากนั้นสคริปต์ Python emulator ที่เราเปิดฉากในเดือนเดือนมีนาคม 2018 ยังคงทำงานเพื่อมละขั้นตอนต่อไป |ขั้นตอนลำดับที่สอง|การแยกร่างประกอบ|ชื่อไฟล์และไดเรกถักรีจักถูกเลือกแบบไดที่นามิแขนหัสสุ่มตัวอย่างเลือกชื่อเสียงเรียงนามไฟล์ของไฟล์เรียกหาทำงานไม่ก็ไฟล์ DLL ถิ่นที่อยู่ใน C: Windows system32 ต่อจากนั้นจะทำการสืบค้นทรัพยากรด้วยกันแยกฟิลด์ FileDescription เพื่อใช้เป็นชื่อโฟลเดอร์หากกรรมวิธีนี้ใช้ไม่ได้เครื่องหมายจะสุ่มตัวอย่างเลือกชื่อโฟลเดอร์จากไดเรกทอเรียว % ProgramFiles% หรือ C: Windows (ขนมจาก GetWindowsDirectoryW)มันหลบมุมการใช้คืนชื่อที่อาจขัดแย้งกับไฟล์ที่มีอยู่โดยทำให้แน่ใจว่าพ้นไป: windows, Microsoft, เดสก์ท็อป, ระบบ, system32 หรือ syswow64 หากไดเรกทอรีมีสิงสู่แล้วชื่อเสียงเรียงนามไดเรกถักรีจะถูกห้อยท้ายด้วย 1C; NLS_ 6 หลัก 1D ;. |ทรัพยากรที่ระยะที่ 19 ของ s 0x102 จะถูกจำแนกวิเคราะห์ด้วยกันไฟล์จักถูกละใน % ProgramFiles% หรือว่า % AppData% ในโฟลเดอร์แห่งเลือกแปลนสุ่มยุคในงานสร้างจักเปลี่ยนเป็นค่าเดียวกันกับ kernel32.dll |ต้นแบบนี่คือโฟลเดอร์กับรายการแฟ้มที่สร้างโดยการเลือก C: Windows system32 TCPSVCSมันสมองexe ปฏิบัติการดำรงฐานะแหล่งข้อมูล |รูปแห่งหน 6 14;ส่วนประกอบแห่งหนแตกต่างห้าม โครงสร้างสิ่งของทรัพยากร 0x102 ในหยาดน้ำมีเหตุซับซ้อนค่อนข้างโดยย่อมี: |
ไฟล์เริ่มแรกจะขัดถูกดคอยปเป็น TCPSVCSมันสมองexe ซึ่งจริงๆแล้วคือ Adobe19; AcroTranscoder.exe ที่ถูกกฎหมาย (ตาม FileDescription ของ SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3 ของเจ้าเอ็งสังเกตว่าขนาดแฟ้มของ DLLs โปร่งแสงอันเกิน 11MBนี่ครอบครองเพราะบัฟเฟอร์ขนาดใหญ่แห่งหนต่อเนื่องกักคุมของข่าวแบบสุ่มตัวอย่างถูกแหมะไว้ภายในไฟล์เรียกหาทำงานอาจเป็นกรรมวิธีที่จะหลีกเลี่ยงการตรวจจับโดยผลิตภัณฑ์ความปลอดภัยบางร่างกาย |บรรลุการคงอยู่|ทรัพยากร 0x101 สิ่งของหยดประกอบด้วยจำนวนเต็ม 32 เลขฐานสองสองร่างกายที่จำกัดว่าน่าดำเนินการรักษาอย่างไรคุณค่าของมนุชแรกระบุว่ามัลแวร์จักประสบความสำเร็จเพราะว่าไม่ต้องมีสิทธิ์ผู้ดูแลระบบ
ค่าสิ่งของจำนวนเต็มตัวที่สองระบุว่ามัลแวร์ควรพยายามที่จะตกค้างอย่างไรถ้าหากมันลงมือด้วยสิทธิ์ระดับสูง
ชื่อบริการคือชื่อเสียงเรียงนามไฟล์แห่งหนพ้นไปชื่อสกุลชื่อแห่งจัดโชว์ครอบครองชื่อโฟลเดอร์ แต่ว่าสมมติว่าประกอบด้วยอยู่จากนั้นสตริง 1C; หนุ่มสถานที่ 1 1D;ถูกพ่วง (หมายเลขจักเพิ่มขึ้นจนกว่าจักพบชื่อแห่งหนไม่ไหวชดใช้)ผู้ดำเนินการทำเอาแน่ใจบริหารตกค้างผ่านบริการจะลดหย่อน: เมื่อบริการพังทลายบริการควรเริ่มต้นใหม่หลังจาก 1 วินาทีจากนั้นคุณค่ารีจิสทรี WOW64 สิ่งของคีย์บริการใหม่ไม่ผิดตั้งค่าเป็น 4 ซึ่งเจาะจงแหว it19; sa บริการ 32 บิต | การทำงานแห่งหนกำหนดสมัยวางจักถูกสร้างขึ้นไปผ่านส่วนต่อประสาน COM เหลือแหล่ตัว: ITaskScheduler
, ITask
, ITaskTrigger
, IPersistFile
ด้วยกัน ITaskScheduler
เพราะว่าพื้นฐานต่อจากนั้นมัลแวร์จะสร้างกิจการที่ซ่อนอยู่ตั้งค่าข่าวบัญชีพร้อมด้วยลูกค้าช่วงปัจจุบันหรือไม่ก็ข้อมูลเจ้าสำนักระเบียบและจัดตั้งขึ้นคุณประโยชน์ทริกเกอร์ บิตสถานที่เป็นอันตราย|ในแบบสรรพสิ่งอิฉันลงมือ TCPSVCSมันสมองexe ( AcroTranscoder.exe ) ครอบครองซอฟต์แวร์สถานที่ถูกกฎหมายโหลด DLLs สถานที่ไม่ผิดทิ้งเก็บกับมันในกรณีนี้ Flash Video Extensionมันสมองdll เป็นชิ้นที่น่าดึงดูด |ฟังก์ชั่น DLLMain เพียงเรียกหาใช้ฟังก์ชันโดดเดี่ยวมีโปร่งใสภาคสถานที่ทึบแสง: |รูปแห่งหน 7 14; กริยาทึบแสง ภายหลังการหลอกตบตาเหล่านี้งานตรวจสอบรหัสจะครอบครองส่วน .text ของ TCPSVCSมันสมองexe เปลี่ยนการป้องกันเป็น PAGE_EXECUTE_READWRITE ด้วยกันแทนที่มันด้วยคำแนะนำที่ไม่ต้องสร้างอะไรเลยไม่มีผลใกล้ชิด: |รูปสถานที่ 8 14;ลำดับสรรพสิ่งคำสั่งแห่งหนไม่มีผลข้างเคียง ในสุดท้ายนี้คำสั่ง CALL ด้วยเหตุที่อยู่สรรพสิ่งฟังก์ชัน FLVCore :: ยกเลิกการกำครั้งดค่าเริ่มต้น (เป็นโมฆะ) โดย ส่วนขยายวิดีโอ Flash ซึ่งชี้ความแหวหลังจากโหลด DLL ที่เป็นอันตรายครั้นรันไทม์เรียก WinMain แห่ง TCPSVCS.exe ตัวชี้คำประกาศิตจะแสดงไปแห่งหนเลื่อน NOP ซึ่งสุดท้ายนี้จะเรียก FLVCore :: Uninitialize (void) ขั้นตอนถัดจาก |ฟังก์ชั่นนี้จักสร้าง mutex ที่เริ่มต้นด้วย 181C8480-A975-411C-AB0A-630DB8B0A221> และติดตามด้วยชื่อเสียงเรียงนามผู้ใช้ปัจจุบันจากนั้นจะอ่านไฟล์ที่ถูกดร็อปพร้อมด้วย & # xA0; .db3 & # xA0;ส่วนเสริมซึ่งมีเครื่องหมายที่เปล่าขึ้นอยู่กับฐานันดรและใช้คืน CreateThread เพื่อเรียกหาใช้เนื้อหา |เนื้อความของแฟ้ม. db3 ครอบครอง shellcode ที่ชดใช้โดย OceanLotusใหม่เราบรรลุผลในการแตกบรรจุภัณฑ์เพราะว่าใช้สคริปต์ถ่ายแบบที่อิฉันเผยแพร่บนบานศาลกล่าว GitHub |สคริปต์จะแบ่งขั้นตอนสุดท้ายส่วนประกอบตรงนี้เป็นแบ็คดอร์แห่งเราพินิจพิจารณาไปแล้วในงานพิมพ์ทางเทคนิคนี้: OceanLotus: เทคนิคเก่า ๆ , แบ็คดอร์นวชาตเป็นที่รู้จักเช่นนี้ขนมจาก GUID A96B020F-0000-466F-A96D-A91BBF8EAC96 ที่ประกอบด้วยอยู่ในไบนารีการกำหนดค่ามัลแวร์ยังคงถูกใส่รหัสในทรัพยากร PEประกอบด้วยการกำหนดค่าเกือบเหมือนกัน แต่เซิร์ฟเวอร์ C & amp; C ตรงนั้นแตกต่างจากที่เผยแพร่แล้ว: |
เมื่อOceanLotus อธิบายเทคนิคใหม่ ๆ ที่จะอยู่ภายใต้เรดาร์พวกเขากลับมาพร้อมทั้ง 1C; better1D;รุ่นของกระบวนการติดเชื้อโดยการเลือกชื่อแบบสุ่มและงานเติมแฟ้มข้อมูลที่เรียกทำงานได้มาด้วยข้อมูลแบบสุ่มพวกมันจะลดจำนวนสรรพสิ่ง IoCs ที่เชื่อถือได้ (ตามแฮชและชื่อไฟล์)นอกจากนั้นเนื่องจากพวกเขากำลังใช้การโหลดข้างข้างของ DLL ผู้โจมตีจักต้องแปะไบนาเรียว AcroTranscoder ไบนาเรียวที่ถูกต้องตามกฎหมาย |คลังข้อมูลแบบพองตัวเองแบบหลังจากใช้แฟ้ม RTF กลุ่มริเริ่มใช้คลังข้อมูลฉบับร่างขยายตัวเอง (SFX) ที่ใช้ไอคอนสิ่งพิมพ์ทั่วไปเพื่อที่จะพยายามกลิ้งกลอกผู้ที่ตกเป็นเหยื่อสิ่งพิมพ์นี้จัดทำโดยย่อ Threatbook (ภาษาจีน)ครั้นรันไฟล์ RAR ต้นร่างขยายตัวเองเหล่านี้จะช่างและเรียกหาใช้แฟ้ม DLL (พร้อมด้วยนามสกุล. ocx) ครบครันเพย์โหลดสุดท้ายดำรงฐานะ {A96B020F-0000-466F-A96D-A91BBF8EAC96 ที่ประกอบด้วยการทำเอกสารวางก่อนหน้านี้ .dll มันสมองตั้งแต่กลางเดือนมกราคม 2019 OceanLotus ริเริ่มนำเทคนิคนี้หวนกลับใช้ใหม่ แต่สับเปลี่ยนการกำหนดคุณประโยชน์บางอย่างครั้นเวลาเปลี่ยนไปซีกนี้จะอธิบายจดเทคนิคกับสิ่งที่พวกเขาเปลี่ยนแปลงเพื่อให้สำเร็จ |การหลงรักนก|งานพิมพ์ THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1) .EXE (คือ 1C; ความสัมพันธ์ที่ชื่นชอบสรรพสิ่ง VIETNAMESE PERFORMANCE1D ครั้งแรกดังที่ Google แปลภาษามนุษย์แปลตวาด SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BABBแฟ้มข้อมูล SFX ถูกก่อสร้างขึ้นอย่างชาญฉลาดด้วยเหตุที่คำอธิบาย ( ข้อมูลเวอร์ชัน ) เจาะจงว่า it19; sa 1C; JPEG Image1D;สคริปต์สิ่งของ SFX มีดังต่อไปนี้: |รูปแห่ง 9 14 คำสั่ง SFX มัลแวร์จักลดลง 9ec60ada-a200-4159-b310-8071892ed0c3 .ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC )jpg . |รูปภาพล่อจากนี้ไป: |รูปแห่ง 10 14;จิตรเลขาล่อลวง เธออาจสังเกตเห็นสองบรรทัดแต่ต้นในสคริปต์ SFX เรียกหาใช้ไฟล์ OCX สองครั้ง แต่ไม่ใช่เช่นนั้นความผิดพลาด 26; |9ec60ada-a200-4159-b310-8071892ed0c3 มันสมองocx (ShLd.dll)|การควบกำกับการหลั่งไหลของแฟ้ม OCX file19 นั้นละม้ายกับชิ้นส่วน OceanLotus อื่น ๆ : มีจำนวนมาก JZ / JNZ และPUSH / RET หลั่นการสอนสอดแทรกด้วยรหัสขยะ |รูปที่ สิบเอ็ด 14; ภายหลังถักเครื่องหมายเศษต่อจากนั้นการส่งออก DllRegisterServer แห่งไม่ผิดเรียกเพราะ regsvr32.exe ประกอบด้วยรูปพรรณสัณฐานเพราะฉะนี้: |ตนที่ 12 14; เครื่องหมายหลักสิ่งของโปรแกรมประดิษฐาน โดยทั่วไปหนแรกที่ DllRegisterServer ไม่ผิดเรียกเลี่ยนตั้งค่ารีจิสทเรียว HKCU SOFTWARE Classes CLSID E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1 Model เพื่อจะชดเชยการเข้ารหัสในที่ DLL ( 0x100011DE0) ). | | ครั้งลำดับที่สองแห่งหนเรียกใช้ฟังก์ชันฟังก์ชันจักอ่านค่าเดียวกันตรงนี้และเรียกใช้คืนฟังก์ชันตามที่สิงสู่ตรงนั้นหลังจากนั้นทรัพยากรจักไม่ผิดอ่านกับปฏิบัติการและประกอบด้วยการกระทำณหน่วยความจำมากมาย |shellcode เป็น PE ร่างกายโหลดโดดเดี่ยวกับดักแห่งใช้แห่งแคมเปญ OceanLotus ก่อนหน้าเลี่ยนสมรรถจำลองอีกด้วยสคริปต์การจำลอง miasm สรรพสิ่งดีฉันในบั้นปลายเลี่ยนจักน้อยลง db293b825dcc419ba7dc2c49fa2757ee.dll หน่วยความจำและกระทำ DllEntry |DLL ดูดเนื้อความสิ่งของ its รีซอร์สแปลรหัส (AES-256-CBC) กับขยายการบีบบด (LZMA)ทรัพยากรมีหนทางเฉพาะที่ค่อนข้างคล่องในที่งานทำวิศวกรรมทวนทบ |รูปสถานที่ 13 14 แบบสร้างการกำทีดค่าตัวประดิษฐาน (KaitaiStruct Visualizer) การกำทีดคุณค่าประกอบด้วยเหตุชัดเจน: ขึ้นกับระดับสิทธิเรื่องอึไบนบานศาลกล่าวาเรียวจักถูกสลักจรอีกต่างหาก % appdata% Intel logs BackgroundUploadTask.cpl
หรือขึ้นอยู่กับระดับสิทธิ% windir% System32 BackgroundUploadTaskมันสมองcpl
(หรือว่า SysWOW64
เพราะว่ากระบิล 64 เลขฐานสอง) โครงสร้างแฟ้มข้อมูล CPL ครอบครอง DLL แห่งหนมีชื่อภายในรวมความว่า ac8e06de0a6c4483af9837d96504127eมันสมองdll ด้วยกันส่งออก CPlApplet ฟังก์ชั่นไฟล์ตรงนี้ถอดรหัสเสี้ยมเฉพาะเจาะจงทรัพยากร A96B020F-0000-466F-A96D-A91BBF8EAC96 .dll หลังจากนั้นโหลด DLL ตรงนั้นด้วยกันเรียกการส่งออกเฉพาะเจาะจง DllEntry ทัวร์กัมพูชา |แฟ้มข้อมูลจำกัดคุณประโยชน์เหลาๆ|เหลาๆมีการกำทีดค่าแห่งหนเข้ารหัสซึ่งซุกอยู่ในที่ทรัพยากรแบบสร้างของแฟ้มการกำทีดค่าค่อนข้างคล้ายกับดักแฟ้มข้อมูลก่อนหน้า |ร่างกายสถานที่ 14 14 โครงสร้างสิ่งของการกำหนดคุณค่าแบ็คดอร์ (KaitaiStruct Visualizer) แม้จะประกอบด้วยความคล้ายคลึงกักคุมสิ่งของแบบสร้าง แม้ว่าคุณค่าในที่เขตข่าวเหล่านี้จำนวนมากมีสิทธิ์การอัปเดตพอเปรียบเทียบกับคุณค่าแห่งเอกสารทางเทคนิคของฉันตั้งแต่เดือนเดือนมีนาคม 2018 สาวก้าวไปอีกไมล์|ทั้งที่งานสืบเสาะแม่แบบประกอบด้วยลักษณะเด่นอยู่หญิบตรีแม่แบบสถานที่พึ่งวิเคราะห์มีอยู่ขึ้นในตอนเดือนกรกฎาคม 2561 กับอื่น ๆ ที่ละม้ายห้ามก็พบตวาดเมื่อไม่นานมานี้- มกราคมถึงต้นเดือนกุมภาพันธ์ 2019 เวกเตอร์การติดเชื้อสถานที่ใช้คืนดำรงฐานะแฟ้มข้อมูลหยุดอยู่ยืดสรรพสิ่ง SFX สถานที่ละสิ่งพิมพ์สถานที่ถูกต้องติดตามกฏหมายด้วยกันดำรงฐานะแฟ้มข้อมูล OCX แห่งเป็นอันตราย |แต่ OceanLotus จะใช้การกดยุคเก๊ เสียแต่ว่าก็ประกอบด้วยงานสำรวจพบสั่งการประทับเวลาสรรพสิ่งแฟ้มข้อมูล SFX และ OCX เช่นเดียวกันเทียมเท่า ( 0x57B0C36A (08/14/2016 @ 7:UTC 15:00) ด้วยกัน 0x498BE80F (02/06/2009 @ 7:34 am UTC) ตามลำดับ)นี่อาจจะบ่งคดีดุพวกเขามี 1C บางชนิด; builder1D;สถานที่ใช้แบบเดียวกันด้วยกันผลัดกันรูปร่างบางอย่างแค่นั้น |ในที่ทั้งหมดงานพิมพ์แห่งหนอีฉันวิเคราะห์ตั้งแต่ต้นปี 2018 ดิฉันเห็นชื่อเสียงเรียงนามสิ่งพิมพ์สถานที่ผิดแผกกันซึ่งแนะนำการกำครั้งดจุดหมายปลายทางแห่งหนข้องเกี่ยวกับด้าว: |
ตั้งแต่การค้นพบ A96B020F-0000-466F-A96D-A91BBF8EAC96 มันสมองdll
เสี้ยมๆและงานพินิจพิจารณาทั่วไปโดยนักวิจัยหลายมนุษย์เรามองเห็นความเปลี่ยนแปลงบางสิ่งในที่ข่าวการกำหนดคุณประโยชน์สิ่งของ Malware19; อย่างแห่งหนคู่ฟิตัดทอน์การกำครั้งดคุณค่าแบ็คดอร์จำนวนมากไม่ผิดผลัดกันเห็นจะอาจจะหลบมุมการตรวจจับดังที่ IoC จำนวนมากพร้อมใช้งาน
ในที่สุดตัวแปรนวชาตทั้งหมดแห่งวิเคราะห์มีเซิร์ฟเวอร์ C & amp; C ใหม่ซึ่งจัดแสดงอยู่ที่ส่วน IoCs |รวมความ|OceanLotus คล่องแคล่วกับพัฒนาอย่างต่อเนื่องหมู่มุ่งเน้นจรที่งานเปลี่ยนกลุ่มเครื่องมือและอุปกรณ์ล่อต่างๆเขาทั้งหลายห่อสิ่งพิมพ์ที่น่ารู้อย่างชาญฉลาดโดยเกาะตามเหตุการณ์ยุคปัจจุบันที่น่าจะเป็นแห่งสนใจของผู้ตกเป็นเหยื่อพวกเขายังคงไตร่ตรองหากรรมวิธีที่ผิดแผกกันด้วยกันใช้ย้ำและอ่านรหัสการหาประโยชน์ที่เปิดเผยต่อหมู่ชนเช่น Equation Editorยิ่งกว่านั้นพวกเขายังคงปฏิรูปเทคนิคเพื่อจะลดจำนวนรวมสิ่งของแห่งหนเหลืออยู่แห่งเหยื่อของพวกเขา 19;เครื่องจักรจึงสนับสนุนลดตำแหน่งการตรวจจับโดยผลิตผลความปลอดภัยเนื่องจากเราคว้าแสดงการดำเนินการณหน่วยความจำจำนวนมากประกอบด้วยการสร้างชื่อไฟล์แบบสุ่มและผู้ผลิต OceanLotus ได้คลี่คลายไขไบนบานศาลกล่าวารีของพวกเขาเพื่อที่จะหลีกเลี่ยงการถูกสำรวจพบอีกวงที่น่าศึกษามากลงความว่าชื่อโดเมนบางชื่อดูเหมือนว่ามาจากพจนานุกรมOceanLotus ชดใช้ความพยายามโดยเฉพาะในงานดำเนินการแคมเปญสรรพสิ่งพวกเขาถัดจาก แต่ don19 เปล่ากลั้นลมหายใจสิ่งของคุณไว้ 26; |ตัวบ่งชี้ของการประนีประนอม (IOC)|IoC ในบล็อกนี้ดังแอตทยึดคืนิวต์ MITER ATT & amp; CK ยังประกอบด้วยอยู่แห่งที่เก็บ GitHub ของเราอีกด้วย |คีย์เรียวจิสทรี / คุณประโยชน์:|
Mutexes:://
ชื่อโดเมน
| |
aliexpresscn []net
| |
andreagahuvrauvin[มันสมอง]com
| |
andreagbridge[.]com
| |
aol.straliaenollma[.]xyz
| |
beaudrysang[.]xyz
| |
becreybour[มันสมอง]com
| |
byronorenstein[มันสมอง]com
| |
chinaport[.]org
| |
christienoll[.]xyz
| |
christienollmache[.]xyz
| |
cloud.360cn [มันสมอง] ข่าว
| |
dieordaunt [.] com
| |
dnsมันสมองchinanews [มันสมอง] วงจรข่าย
| |
illagedrivestralia[.]xyz
| |
karelbecker[.]com
| |
karolinblair[.]com
| |
lauradesnoyers[มันสมอง]com
| |
ntopมันสมองdieordaunt[.]com
| |
officeมันสมองourkekwiciver[.]com
| |
ourkekwiciver[.]com
| |
sophiahoule[.]com
| |
stienollmache[มันสมอง]xyz
| |
straliaenollma[มันสมอง]xyz
| |
ursulapapst[.]xyz
| |
|
Files:
เอกสารแห่งใช้ประโยชน์ CVE-2017-11882: | ||
---|---|
แฮช SHA-1 | ||
D1357B284C951470066AAA7A8228190B88A5C7C3 | ||
BB060E5E7F7E946613A3497D58FBF026AE7C369A | | tr <E2D949CF06842B5F7AE6B2DFFAA49771A93A00A9DD>| |
Win32/Exploit.CVE-2017-11882.BU | ||
Win32/ExploitมันสมองCVE-2017-11882.A | ||
Win32/Exploit.Agent.KT | ||
Win32/Exploit.AgentมันสมองLT | ||
Win32 / Exploit.CVE-2017-11882.EI | ||
คลังเก็บของ SFX และ OCX droppers: | ||
แฮช SHA-1 | ||
AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB | >||
7642F2181CB189965C596964D2EDF8FE50DA742B | ||
CD13210A142DA4BC02DA47455EB2CFE13F35804A | ||
377FDC842D4A721A103C32CE8CB4DAF50B49F303 | ||
B4E6DDCD78884F64825FDF4710B35CDBEAABE8E2 | ||
BD39591A02B4E403A25AAE502648264308085DED | ||
B998F1B92ED6246DED13B79D069AA91C35637DEC | ||
CC918F0DA51794F0174437D336E6F3EDFDD3CBE4 | ||
83D520E8C3FDAEFB5C8B180187B45C65590DB21A | ||
EFAC23B0E6395B1178BCF7086F72344B24C04DCC | ||
8B991D4F2C108FD572C9C2059685FC574591E0BE | ||
B744878E150A2C254C867BAD610778852C66D50A | ||
3DFC3D81572E16CEAAE3D07922255EB88068B91D | ||
77C42F66DADF5B579F6BCD0771030ADC7AEFA97C | ||
ESETชื่อการตรวจจับ | ||
Win32 / Agent.ZUR | |
MITERATT & amp; เคล็ดลับ CK
แทแบบอย่างค | ID | ชื่อ | ชื่อถ้อยคำ | |
---|---|---|---|
งานเข้าถึงเริ่มต้น | T1193 | Spearphishing Attachment | เอกสาร RTF แห่งหลอกลวงกับงานดองถาวรภาพร่างพองตัวเองจักถูกส่งจรอีกทั้งผู้ประสบภัยแห่งหนอาจบังเกิด | |
การดำเนินการ | T1204 | งานลงมือสรรพสิ่งผู้ใช้ | ผู้ใช้จำเป็นจะต้องเรียกใช้แฟ้มดองทนทานแบบขยายตัวเองหรือถกสิ่งพิมพ์ RTF | |
T1117 | Regsvr32 | Tเขาคลังข้อมูลที่ขยายตัวเองเรียกหาใช้งาน regsvr32
เพื่อที่จะเรียกใช้คืน OceanLotus & apos;แบ็คดอร์
| |
|
T1035 | งานกระทำบริการ | วิธีการลำดับที่สองสิ่งของงานตักตวงพยายามที่จะเรียกใช้คืน OceanLotus & apos;แบ็คดอร์ดำรงฐานะบริการ | ||
ความทนทาน | T1050 | บริการนวชาต | กรรมวิธีลำดับที่สองสรรพสิ่งการกอบโกยมุมานะที่จะประสบผลโดยงานก่อสร้างบริการ | |
T1060 | เรียวจิสทเรียวเรียกหาชดใช้คีย์ / โฟลเดอร์ประเดิม | กระบวนการลำดับที่สองสิ่งของการหาประโยชน์บากบั่นที่จะคงอยู่เพราะว่างานเพิ่มค่าในเรียกชดใช้เรียวจิผู้หญิงคีย์ | ||
T1053 | ภารกิจแห่งหนกำหนดสมัยไว้ | ขั้นตอนที่สองสิ่งของการใช้ประโยชน์พยายามที่จะลุความพยายามเพราะการสร้างตารางงาน | ||
การเลี่ยงการป้องกัน | T1009 | งานขยายแบบไบนาเรียวไบนาเรียว | ขั้นตอนลำดับที่สองของการหาช่องโหว่แห่งหนทำให้ไฟล์ประมวลผลหายไปพร้อมทั้งข้อมูลต้นร่างสุ่ม | |
T1073 | DLLโหลดปีกข้าง | OceanLotus & apos;แบ็คดอร์ติดตั้งด้านข้างโดยวางไลบเลิกรี่ด้วยกันไฟล์เอ็กซีคิวต์แห่งถูกต้องกับถูกต้องตามกฎหมาย (AcroTranscoder) | ||
T1112 | เปลี่ยนแปลงรีจิสทรี | OceanLotus & apos;แบ็คดอร์เก็บการกำทีดค่าไว้ในรีจิสตรีแป้นอักษร | ||
T1027 | ไฟล์หรือว่าข้อมูลแห่งทำให้อลวน | ขั้นตอนที่สองของงานหาประโยชน์ใส่รหัส shellcode ที่เข้ารหัส | ||
T1099 | Timestomp | เวลาการสร้างแฟ้มที่ถูกทิ้งวางในขบวนการที่สองสิ่งของการกอบโกยถูกตั้งค่าปันออกตรงกับดักเวลางานสร้างสิ่งของ kernel32.dll
.
| |
|
การค้นพบ | T1083 | งานค้นพบแฟ้มข้อมูลและไดเเรื้อทอรี | OceanLotus & apos;แบ็คดอร์สามารถจัดแสดงรายการแฟ้มข้อมูลและไดเเฝือทอรี | |
T1012 | Query Registry | OceanLotus & apos;แบ็คดอร์สามารถสืบหา Windows Registry เพื่อรวบรวมข้อมูลกบิล | ||
T1082 | การแสวงข้อมูลระเบียบ | OceanLotus'แบ็คดอร์เก็บข้อมูลระบบด้วยกันส่งไปอีกทั้งเซิร์ฟเวอร์ C & amp; C ของเลี่ยน | ||
การกรอง | |||
ผู้ตั้งกระทู้ eagerutopia1 :: วันที่ลงประกาศ 2019-06-15 10:43:26 |