观成科技:海莲花利用MST投递远控木马

概述

"海莲花",又名"OceanLotus",该APT组织是长期针对中国境内,且攻击活动十分活跃的组织。近期发现该组织使用了MSI文件滥用的新手法,将远程控制木马植入MST文件来修改MSI文件安装时的执行流程,在安装期间运行恶意代码。本文将展示该恶意木马的加载执行流程,并分析其加密通信过程。

样本加载流程

远程控制木马的加载过程,分为以下几个步骤:

  1. 恶意木马首先通过伪装成文档文件的LNK文件启动;
  2. LNK调用执行正常安装白文件MSI文件,同时在参数中指定加载恶意MST文件;
  3. MST文件中的恶意代码执行后,会释放并打开诱饵DOC文档,修改启动项实现持久化,并释放白可执行文件和恶意DLL文件;
  4. 白文件执行后加载恶意DLL文件,在内存中加密释放恶意ShellCode并执行;
  5. 恶意ShellCode执行远程控制功能,和远程C&C服务器进行加密通信。

图 1 攻击流程图

加密通信分析

样本通信基于TLS协议,在TLS协议之上使用HTTP协议,通信时样本通过POST方式请求固定的URL"/resources/gfx/tradewinds",在HTTP载荷中传输通信内容。HTTP载荷自定义加密格式,使用的加密算法为XOR加密,密钥每次通信随机生成并在通信中随加密数据一起发送。自定义加密格式构造为"2字节密钥长度+随机密钥+4字节加密数据长度+加密数据"。HTTP载荷自定义加密格式如下图。

图2:HTTP载荷自定义加密格式

检测告警

目前,观成瞰云-加密威胁智能检测系统已经支持对该远程控制木马进行有效检出,检测告警见下图。

图 3 详细告警信息

总结

此次攻击活动中,海莲花组织使用TLS协议作为通信协议。通信的载荷数据采用了XOR加密,加密使用了动态密钥,密钥随流量传输。此次分析的木马的通信过程与海莲花组织以前使用的武器有所变化,在加密算法上未使用常规AES加密,而是采用了较简单的XOR加密,但在加密通信构造上依然延续了该组织惯用手段。观成科技安全研究团队将持续对海莲花APT组织进行关注,及时更新维护对该组织的检测策略。

相关推荐
哥是强混1 小时前
Means:基于 .NET 10 打造的开源自部署 S3 兼容对象存储服务
网络·数据库·.net
hz567892 小时前
电子远程评标系统哪家好?安全、合规、易用平台评测指南
安全·云计算·音视频·实时音视频·信息与通信
MartinYeung52 小时前
[论文学习]大语言模型安全综述:攻击、防御、对齐、度量与护栏的深度解析
学习·安全·语言模型
Piko6142 小时前
锐捷 VSU 虚拟化堆叠配置
运维·网络·笔记
2301_780303903 小时前
网络安全、自动化运维、ERP、CRM、MES
运维·web安全·网络安全·自动化·安全威胁分析
爱研究的小梁4 小时前
乾元通多链路聚合通信主流落地应用案例
网络·信息与通信
Bobolink_4 小时前
跨境网络丢包优化实践,从5%到0.2%的排查与调整过程
网络·跨境网络·丢包优化
Piko6144 小时前
锐捷交换机 DHCP Server部署
运维·网络·笔记
卓豪终端管理4 小时前
企业数据防泄漏:现代设备控制如何成为终端安全的关键防线
安全
多巴胺梦想家5 小时前
数据库恢复技术:当灾难来临
网络·数据库·oracle