概述
"海莲花",又名"OceanLotus",该APT组织是长期针对中国境内,且攻击活动十分活跃的组织。近期发现该组织使用了MSI文件滥用的新手法,将远程控制木马植入MST文件来修改MSI文件安装时的执行流程,在安装期间运行恶意代码。本文将展示该恶意木马的加载执行流程,并分析其加密通信过程。
样本加载流程
远程控制木马的加载过程,分为以下几个步骤:
- 恶意木马首先通过伪装成文档文件的LNK文件启动;
- LNK调用执行正常安装白文件MSI文件,同时在参数中指定加载恶意MST文件;
- MST文件中的恶意代码执行后,会释放并打开诱饵DOC文档,修改启动项实现持久化,并释放白可执行文件和恶意DLL文件;
- 白文件执行后加载恶意DLL文件,在内存中加密释放恶意ShellCode并执行;
- 恶意ShellCode执行远程控制功能,和远程C&C服务器进行加密通信。
图 1 攻击流程图
加密通信分析
样本通信基于TLS协议,在TLS协议之上使用HTTP协议,通信时样本通过POST方式请求固定的URL"/resources/gfx/tradewinds",在HTTP载荷中传输通信内容。HTTP载荷自定义加密格式,使用的加密算法为XOR加密,密钥每次通信随机生成并在通信中随加密数据一起发送。自定义加密格式构造为"2字节密钥长度+随机密钥+4字节加密数据长度+加密数据"。HTTP载荷自定义加密格式如下图。
图2:HTTP载荷自定义加密格式
检测告警
目前,观成瞰云-加密威胁智能检测系统已经支持对该远程控制木马进行有效检出,检测告警见下图。
图 3 详细告警信息
总结
此次攻击活动中,海莲花组织使用TLS协议作为通信协议。通信的载荷数据采用了XOR加密,加密使用了动态密钥,密钥随流量传输。此次分析的木马的通信过程与海莲花组织以前使用的武器有所变化,在加密算法上未使用常规AES加密,而是采用了较简单的XOR加密,但在加密通信构造上依然延续了该组织惯用手段。观成科技安全研究团队将持续对海莲花APT组织进行关注,及时更新维护对该组织的检测策略。