本文是翻译文章,文章来源:unit42.paloaltonetworks.com
原文地址:https://unit42.paloaltonetworks.com/tracking-oceanlotus-new-downloader-kerrdown/
译文仅供参考,具体内容表达以及含义原文为准
OceanLotus (AKA APT32)组织来自东南亚,具有极高的攻击能力,在过去的几年里,许多安全研究人员对该组织的活动进行披露。对该组织使用的工具和策略进行了研究和跟踪。该组织主要活跃于亚太地区。
该博客主要探讨一款自定义下载的恶意软件,我们命名为“KerrDown”,自2018年初至今,OceanLotus组织一直在使用该软件。我们还展示了如何使用jaccard-index算法快速找到与KerrDown相似的数据集。事实证明,这种方法适用于从大量的数据集中提取相似样本集。并与攻击活动进行关联。
KerrDown通过以下两种方法进行传播:1.使用带有恶意宏的Microsoft Office文档。2.包含合法DLL文件的RAR压缩包。该压缩包文件名使用越南语,通过分析,我们认定该活动主要目标为越南。
恶意文档
我们的分析开始于一个邮件,OceanLotus组织曾经用过该传播方式,但该邮件包含了一个新的载荷:KerrDown,其哈希为:
(SHA256:89e19df797481ae2d2c895bcf030fe19e581976d2aef90c89bd6b3408579bfc3)
下图为诱饵文件图片,当受害者打开诱饵文档,文档要求受害者启用宏以查看文件内容。仔细观察,还会发现页面包含两个base64编码的数据。并且字体大小为1。该方法可逃避检测并容易使受害者忽略。
对两段数据进行解吗,会发现PE文件的MZ头,如下图所示:
下图为嵌入的宏代码,可以看出,通过iCheck变量检测是哪段数据,如果受害者的操作系统是64位,则iCheck为True,左侧的数据会被解码。32位操作系统则返回False。右侧的数据被解码。
我们还观察到攻击者使用了Motobit发布的VBS解码功能。下图显示了宏代码中base64函数和Motobit发布的VBS base64解码器之间的比较情况。
我们用jaccard-index来分析KerrDown样本的相似性,我们通过Jaccard索引来检测OceanLotus组织曾经使用过的恶意文件,我们没有发现任何匹配。我们使用KerrDown样本的imphash值和C2域名发现了一些样本,并使用相似性算法进行分析。我们把分析结果用networkx绘制而出。如下图所示,可以看到,图的右上方有一个集群,该集群与已知的OceanLotus恶意软件无相似之处。因此我们认为该样本集是OceanLotus使用的新恶意软件。我们将其命名为KerrDown。
如上文所说,该恶意软件会根据不同的操作系统解码对应的dll文件,并将该文件命名为“main_background.png”。存放在“User\Administrator\AppData\Roaming”目录下。DLL文件会检索URL,用DES算法对其进行内存解密并执行。因此,只有KerrDown DLL文件被保存在系统中。下图显示了下载程序连接的URL。
在分析期间,恶意载荷仍然有效,我们发现下载的文件是Cobalt Strike Beacon的变种。Cybereason在以前的攻击活动中使用Cobalt Strike。我们看到,该恶意软件的目的是在内存中下载并执行Cobalt Strike Beacon有效负载。虽然Cobalt Strike是一款商业渗透工具。但很多攻击者在活动中使用它。
在调查KerrDown时,我们发现了多个包含恶意软件的RAR文件。攻击者通过压缩和加密来隐藏攻击程序。RAR文件哈希如下:
(SHA256:040abac56542a2e0f384adf37c8f95b2b6e6ce3a0ff969e3c1d572e6b4053ff3)
压缩文件的文件名用越南话书写,为“Don khieu nai.rar”,是“投诉信”的意思。该文件包含一个合法的旧版Microsoft Word (Microsoft Word 2007) 可执行文件,名为“Noi dung chi tiet don khieu nai gui cong ty.exe”,其含义是“了解贵公司更多信息”。攻击者加载该DLL。DLL执行多个shellcode,每段shellcode使用各种技术进行隐藏。具体步骤如下:
1.Microsoft Word exe将wwlib.dll加载到同一目录并执行DLL中的“FMain”功能。
2.DLL用base64解码shellcode并执行。
3.shellcode用开源代码UCL进行解压第二个shellcode并执行。
4.第二个shellcode用AES解密第三个shellcode
5.第三个shellcode从以下位置检索shellcode并执行:https://cortanasyn[.]com/Avcv
6.第四个shellcode将嵌入的Cobalt Strike Beacon DLL加载到内存并执行。
通过对KerrDown样本的时间戳进行分析,我们可以得出如下结论:
OceanLotus组织自2018年3月以来一直在其活动中使用该下载程序。并继续使用它。下图显示了KerrDown活动时间轴:
人们普遍认为OceanLotus组织来自越南,我们希望从我们的数据集中找到他们的工作模式,我们绘制了文件的编译时间,发现该组织工作时间为上午9点至下午6点。大部分样本在这段时间进行编译。下图显示编译时间戳:
我们还观察到所有样本都是在工作日期间编译的:周一到周五。因此,OceanLotus组织在工作日工作,周末休息。下图是本周编译的样本。
OceanLotus组织是亚太地区极具危险性的组织之一。正如我们在最近的活动中发现的KerrDown恶意软件。该组织在不断更新自己的技术和工具。所以,了解其运营和架构可以更好的抵御威胁。
Lure DOCS
73dcbcc47d6bd95dcf031ebbd34ac42301a20ee1143ac130b405e79b4ba40fc8
89e19df797481ae2d2c895bcf030fe19e581976d2aef90c89bd6b3408579bfc3
a4a066341b4172d2cb752de4b938bf678ceb627ecb72594730b78bd05a2fad9d
8bf22202e4fd4c005afde2266413cba9d1b749b1a2d75deac0c35728b5eb3af8
df8210d20c5eb80d44ba8fa4c41c26c8421dcb20168e4f796e4955e01ebc9e13
94fab926b73a6a5bc71d655c8d611b40e80464da9f1134bfce7b930e23e273ab
4321a9f95901a77b4acfbaef3596cf681712345e1cbd764873c6643fe9da7331
KerrDown DLLs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theme[[.]]blogsite[.]org
cortana[.]homelinux[.]com
word[.]webhop[.]info
work[.]windownoffice[.]com
cortanasyn[.]com
e[.]browsersyn[.]com
syn[.]servebbs[.]com
service[.]windown-update[.]com
check[.]homeip[.]net
outlook[.]updateoffices[.]net
mail[.]fptservice[.]net
office[.]windown-update[.]com
cortanazone[.]com
beta[.]officopedia[.]com
videos[.]dyndns[.]org
service[.]serveftp[.]org
syn[.]browserstime[.]com
check[.]webhop[.]org
ristineho[.]com
硬编码的配置信息,可以看到C2:https:// b.cortanazone[.]com.如下图所示:
下图是RAR文件的相关内容: