首页
论坛
课程
招聘
[原创] APT32组织样本分析
2022-3-12 01:22 7848

[原创] APT32组织样本分析

2022-3-12 01:22
7848

前言

OceanLotus(海莲花)APT组织是一个长期针对中国及其他东亚、东南亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织,该组织也是针对中国境内的最活跃的APT组织之一,该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料,通过追踪它这些年的攻击手法和攻击目标,OceanLotus很有可能是具有国外政府支持背景的、高度组织化的、专业化的境外国家级黑客组织 初期的OceanLotus特种木马技术并不复杂,容易发现和查杀,2014年OceanLotus特种木马开始采用包括文件伪装、随机加密和自我销毁等一系列复杂的攻击技术与安全软件进行对抗,随后OceanLotus特种木马又开始转向云控技术,攻击的危险性、不确定性与木马识别查杀的难度都大大增强 OceanLotus(海莲花) APT组织擅长使用鱼叉攻击和水坑攻击,NSA武器库曝光后,还使用了永恒系列漏洞进行攻击,投递的攻击武器种类比较多,RTA包括:Denis、CobaltStrike、PHOREAL、salgorea、类gh0st、Ratsnif等

APT样本分析

样本通过释放带数字签名的WINWORD.EXE程序侧加载(白加黑)“wwlib.dll”恶意DLL文件,“wwwlib.dll”执行后会解密自身携带的数据并释放诱饵白文档,然后通过解密后执行下载器Shellcode,最后通过HTTP请求下载CobaltStrike Beacon。

一、样本基本信息

图片描述

 

将样本解压后
图片描述

 

运行WINWORD.EXE会加载wwwlib.dll
图片描述

二、动态调试

样本使用大量混淆以及多层加密,动过动态调试可解密部分代码

 

侧加载 “wwwlib.dll”,并将诱饵文档释放到“%TEMP%”目录
图片描述

 

打开生成的诱饵文档
图片描述

 

index.dat保存了cookie、历史记录,记录着通过浏览器访问过的网址、访问时间、历史记录等信息。
图片描述

 

通过CryptDecrypt解密ShellCode
图片描述

 

Shellcode代码主要功能是实现下载Payload,也就是通过URL“https://summerevent.webhop.net/SLdY”下载Cobalt Strike生成的Beacon

 

图片描述
图片描述

 

Cobalt Strike是一款以metasploit为基础的GUI的框架式渗透工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,winexe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。

 

Cobalt Strike主要用于团队作战,可以说是内网渗透中的团队渗透神器,CobaltStrike能够让多个攻击者同时连接到团队服务器上,共享攻击资源与目标信心和Session。要知道众人拾柴火焰高的道理,当我们发现一个内网控制点后,为了使我们的攻击收益最大化,最好的办法就是跟团队共享资源,给其他成员提供同样的接入点,Cobalt Strike很好的做到了这一点。因此Cobalt Strike作为一款协同APT工具,针对内网的渗透测试和作为APT的终端控制功能,使其变成众多APT组织的首选工具。

三、下面是和此样本相关IP和子域名

summerevent.webhop.net服务器iP
图片描述

 

webhop.net下的子域名
图片描述


看雪招聘平台创建简历并且简历完整度达到90%及以上可获得500看雪币~

上传的附件:
收藏
点赞1
打赏
分享
最新回复 (1)
雪    币: 373
活跃值: 活跃值 (964)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
寒江独钓_ 活跃值 2022-3-12 01:25
2
0

解压密码:threatbook

最后于 2022-3-12 01:26 被寒江独钓_编辑 ,原因:
游客
登录 | 注册 方可回帖
返回