樣本資訊
樣本名稱:Trojan.Ursu.a。
樣本家族:海蓮花
樣本型別:白利用。
MD5:05E513C612B0384804DB9BDA5277087C。
SHA1:FAD949D96667A1DC0161D14132865B7B886B1137。
檔案型別:Win32 dll。
檔案大小:1436879 bytes。
傳播途徑:暫無。
專殺資訊:暫無
影響系統:Win7 x64,win8,win10。
樣本來源:網際網路
發現時間:2019.04
入庫時間:2019.04
C2伺服器:https://officewps.net/ultra.jpg。
樣本概況
2012年4月起至今,某境外黑客組織對中國政府、科研院所、海事機構、海域建設、航運企業等相關重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。該境外黑客組織被命名為“海蓮花(OceanLotus)”。該組織主要通過魚叉攻擊和水坑攻擊等方法,配合多種社會工程學手段進行滲透,向境內特定目標人群傳播特種木馬程式,祕密控制部分政府人員、外包商和行業專家的電腦系統,竊取系統中相關領域的機密資料。
近期江民全球樣本態勢系統捕獲了到了最新的攻擊誘餌檔案。誘餌檔名為“2019 年第一季度工作方向附表.rar”,該誘餌在攻擊過程中使用了兩層白利用進行 DLL劫持,第一層為 Word 白利用,第二層為 360 安全瀏覽器白利用。最終投遞的木馬為 Cobalt Strike Beacon 後門,具備程式注入、檔案建立、服務建立、檔案釋放等功能,C2 通訊使用 Safebrowsing 可延展 C2 配置。
樣本危害
偽裝成word文件,點選後通過白利用載入有害的動態庫,最終會下載指定的任意程式碼並執行,實現木馬的投遞。
手工清除方法
1). 刪除檔案
2019年第一季度工作方向附表.rar
wwlib.dll
2019年第一季度工作方向附表.EXE
%temp%\2019 年第一季度工作方向附表.docx
C:\ProgramData\360seMaintenance\chrome_elf.dll。
C:\ProgramData\360seMaintenance\360se.exe。
2). 刪除登錄檔
3). HKEY_CURRENT_USER\Software\Classes\.docx
HKEY_CURRENT_USER\Software\Classes\.doc
漏洞補丁資訊
無
應對措施及建議
1). 不要輕信發件人地址中顯示的“顯示名”。因為顯示名實際上是可以隨便設定的,要注意閱讀發件郵箱全稱。
2). 不要輕易點開陌生郵件中的連結。正文中如果有連結地址,切忌直接開啟,大量的釣魚郵件使用短連結(例如http://t.cn/zWU7f71)或帶連結的文字來迷惑使用者。如果接到的郵件是郵箱升級、郵箱停用等辦公資訊通知類郵件,在點開連結時,還應認真比對連結中的網址是否為單位網址,如果不是,則可能為釣魚郵件。
3). 不要放鬆對“熟人”郵件的警惕。攻擊者常常會利用攻陷的組織內成員郵箱傳送釣魚郵件,如果收到了來自信任的朋友或者同事的郵件,你對郵件內容表示懷疑,可直接撥打電話向其核實。
4). 管理使用者賬號許可權,遵從系統和應用賬戶許可權最小化原則,限制授權使用者對管理員級別許可權的訪問。
5). 加強系統和軟體的及時升級,打全補丁。
6). 修改UAC的預設設定,將其修改為“始終通知並等待我的響應”。除此之外,在授權某項操作時,還應該要求使用者輸入密碼。
行為概述
檔案行為
1). 建立檔案C:\ProgramData\360seMaintenance\chrome_elf.dll。
2). 建立檔案C:\ProgramData\360seMaintenance\360se.exe。
3). 建立檔案%temp%\2019 年第一季度工作方向附表.docx。
4). 刪除檔案wwlib.dll
程式行為
1). 建立程式c:\program files\microsoft office\root\office16\winword.exe。
2). 建立程式C:\ProgramData\360seMaintenance\360se.exe
登錄檔行為
1). 修改登錄檔項
HKEY_CURRENT_USER\Software\Classes\ocsmeet_auto_file\shell\edit\command= "C:\Program Files\Microsoft Office\Root\Office16\lync.exe" "%1"。
2). 修改登錄檔項
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ocsmeet\UserChoice\Progid=ocsmeet_auto_file。
3). 修改登錄檔項
HKEY_CURRENT_USER\Software\Classes\WORD.19\shell\open\command= C:\ProgramData\360seMaintenance\360se.exe /n "%1" /o "%u"
4). 建立登錄檔項
HKEY_CURRENT_USER, L"Software\\Classes\\.docx
HKEY_CURRENT_USER, L"Software\\Classes\\.doc
網路行為
1) 試圖從https://officewps.net/ultra.jpg下載資料。
詳細分析報告
1). 誘餌檔案“2019 年第一季度工作方向附表.rar”為一壓縮檔案,解壓得到“2019 年第一季度工作方向附表.EXE” 和“wwlib.dll”,其中“2019 年第一季度工作方向附表.EXE”是Word 2007 可執行程式,該檔案是一個白檔案,有微軟的簽名。“wwlib.dll”檔案是點選“2019 年第一季度工作方向附表.EXE”檔案後會載入的黑檔案。
圖1.1 誘餌檔案2019 年第一季度工作方向附表.rar
圖1.2 2019 年第一季度工作方向附表.EXE的簽名
2). “wwlib.dll”檔案資訊。檔案型別:PE32 DLL,檔案大小:1436879 bytes,時間戳: 0x5C60E815(Mon Feb 11 11:12:21 2019),MD5:05E513C612B0384804DB9BDA5277087C,SHA-1:FB46ED36C2F2DFD6ECFA898CD6CB176C4950DF4F,SHA-256:236623CD3BE93A832AE86BB7BFBF66E6D5E00ABBC6EBC6555C09988412448391。該檔案被設定為隱藏檔案。
3). 在系統碟符下的”\ProgramData\360seMaintenance\”目錄下釋放2個檔案,”chrome_elf.dll”和“360se.exe”。”360se.exe”是白檔案,MD5:A16702ED1812DDC42153EF070F3DFDD6,SHA-1:D1D59D7B71D30AF0CA65A52516663F5FF787CB74。
圖3.1 釋放”chrome_elf.dll”和“360se.exe”檔案
圖3.2 ”chrome_elf.dll”和“360se.exe”檔案
圖3.3 360se.exe的簽名
4). 接著”wwlib.dll”根據 EXE 程式名構造“2019 年第一季度工作方向附表.docx”字串,然後 在%Temp%目錄寫入帶密碼的 docx 文件,偽裝自己是一個正常的文件。
圖4.1 釋放docx檔案
圖4.2 docx檔案有密碼
5). 如果首次執行,則會在登錄檔目錄 “Software\\Classes\\”建立“.doc”和“.docx”項,然後呼叫 WORD程式開啟釋放到 Temp 目錄的.docx 檔案。"C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n "C:\Users\jiangmin\AppData\Local\Temp\2019年第一季度工作方向附表.docx" /o "%u"
圖5.1 判斷是否第一次執行
圖5.2 執行
6). 查詢登錄檔”Software\\Classes\\”存在“.doc”和“.docx”,如果存在說明不是第一次執行,則執行“360se.exe”檔案,並附加Temp 目錄釋放的 docx 檔案路徑為引數。
圖6 執行360se.exe
7). 360se.exe會載入前面釋放的chrome_elf.dll檔案,chrome_elf.dll動態庫的DllMain()中開啟引數中的docx 檔案,讀取資料,呼叫CryptAPI系列函式解密字串,得到一個URL:“https://officewps.net/ultra.jpg” 。然後刪除前面的wwlib.dll檔案。
圖7.1 解密字串
圖7.2 刪除檔案wwlib.dll
8). 然後開啟引數中的docx文件,檢查是否存在Software\\Classes\\.docx和Software\\Classes\\.doc,如果沒有則建立。
圖8.1 開啟docx文件
圖8.2 檢查登錄檔Software\\Classes\\.docx
圖8.3 檢查登錄檔Software\\Classes\\.doc
9). 然後360se.exe呼叫的chrome_elf.dll匯出函式SignalInitializeCrashReporting(),遍歷程式,如果沒有名為的360se.exe程式則不執行後面的行為。
圖9 遍歷查詢程式
10). 從前面解密的URL”https://officewps.net/ultra.jpg”下載資料,然後申請新的記憶體空間將資料拷貝過去,最後執行下載的playload。由於該URL已經失效,無法分析playload的後續行為。
圖10.1 下載資料
圖10.2 申請記憶體拷貝程式碼並執行
樣本溯源分析
URL:https://officewps.net/ultra.jpg
域名指向IP:
14.128.9.26泰國2019-01-21
162.255.119.119美國2018-12-25
註冊者:WhoisGuard Protected
序號產生器構:WhoisGuard, Inc.
郵箱:df5d01cc791a44a780b569ada86d00a8.protect@whoisguard.com
地址
電話:+507.8365503
註冊時間:2018-12-13 07:13:28
過期時間:2019-12-13 07:13:28
更新時間:2018-12-13 07:13:28
域名服務商:NAMECHEAP INC
域名伺服器:dns1.registrar-servers.com; dns2.registrar-servers.com
總結
附錄
Hash
3B132E407474BC1C830D5A173428A6E1
05E513C612B0384804DB9BDA5277087C
C&C
https://officewps.net/ultra.jpg