trojan.oceanlotus.ursua分析报告-乐鱼全站app

trojan.oceanlotus.ursua分析报告-乐鱼全站app

了解江民最新动态

2020-08-17 来源:安全资讯

样本信息 样本名称: trojan.ursu.a。 样本家族: 海莲花 样本类型: 白利用。 md 5 : 05e513c612b0384804db9bda5277087c。 sha1: fad949d96667a1dc0161d14132865b7b886b1137。 文件类型: win32dll。 文件大小:

样本信息

样本名称:trojan.ursu.a。
样本家族:海莲花
样本类型: 白利用。
md5 05e513c612b0384804db9bda5277087c。
sha1: fad949d96667a1dc0161d14132865b7b886b1137。
文件类型:win32 dll。
文件大小:1436879 bytes。
传播途径:暂无。
专杀信息:暂无
影响系统:win7 x64,win8,win10。
样本来源:互联网
发现时间:2019.04
入库时间:2019.04
c2服务器:

样本概况

2012年4月起至今,某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。该境外黑客组织被命名为“海莲花(oceanlotus)”。该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。
近期江民全球样本态势系统捕获了到了最新的攻击诱饵文件。诱饵文件名为“2019 年第一季度工作方向附表.rar”,该诱饵在攻击过程中使用了两层白利用进行 dll劫持,第一层为 word 白利用,第二层为 360 安全浏览器白利用。最终投递的木马为 cobalt strike beacon 后门,具备进程注入、文件创建、服务创建、文件释放等功能,c2 通信使用 safebrowsing 可延展 c2 配置。

样本危害

伪装成word文档,点击后通过白利用加载有害的动态库,最终会下载指定的任意代码并执行,实现木马的投递。

手工清除方法

1). 删除文件
2019年第一季度工作方向附表.rar
wwlib.dll
2019年第一季度工作方向附表.exe
%temp%\2019 年第一季度工作方向附表.docx
c:\programdata\360semaintenance\chrome_elf.dll。
c:\programdata\360semaintenance\360se.exe。
2). 删除注册表
3). hkey_current_user\software\classes\.docx 
hkey_current_user\software\classes\.doc
 

漏洞补丁信息


应对措施及建议

1). 不要轻信发件人地址中显示的“显示名”。因为显示名实际上是可以随便设置的,要注意阅读发件邮箱全称。
2). 不要轻易点开陌生邮件中的链接。正文中如果有链接地址,切忌直接打开,大量的钓鱼邮件使用短链接(例如http://t.cn/zwu7f71)或带链接的文字来迷惑用户。如果接到的邮件是邮箱升级、邮箱停用等办公信息通知类邮件,在点开链接时,还应认真比对链接中的网址是否为单位网址,如果不是,则可能为钓鱼邮件。
3). 不要放松对“熟人”邮件的警惕。攻击者常常会利用攻陷的组织内成员邮箱发送钓鱼邮件,如果收到了来自信任的朋友或者同事的邮件,你对邮件内容表示怀疑,可直接拨打电话向其核实。
4). 管理用户账号权限,遵从系统和应用账户权限最小化原则,限制授权用户对管理员级别权限的访问。
5). 加强系统和软件的及时升级,打全补丁。
6). 修改uac的默认设置,将其修改为“始终通知并等待我的响应”。除此之外,在授权某项操作时,还应该要求用户输入密码。

行为概述

文件行为

1). 创建文件c:\programdata\360semaintenance\chrome_elf.dll。
2). 创建文件c:\programdata\360semaintenance\360se.exe。
3). 创建文件%temp%\2019 年第一季度工作方向附表.docx。
4). 删除文件wwlib.dll

进程行为

1). 创建进程c:\program files\microsoft office\root\office16\winword.exe。
2). 创建进程c:\programdata\360semaintenance\360se.exe

注册表行为

1). 修改注册表项
hkey_current_user\software\classes\ocsmeet_auto_file\shell\edit\command= "c:\program files\microsoft office\root\office16\lync.exe" "%1"。
2). 修改注册表项
hkey_current_user\software\microsoft\windows\currentversion\explorer\fileexts\.ocsmeet\userchoice\progid=ocsmeet_auto_file。
3). 修改注册表项
hkey_current_user\software\classes\word.19\shell\open\command= c:\programdata\360semaintenance\360se.exe  /n "%1" /o "%u"
4). 创建注册表项
hkey_current_user, l"software\\classes\\.docx
hkey_current_user, l"software\\classes\\.doc
 

网络行为

1) 试图从https://officewps.net/ultra.jpg下载数据。
 

详细分析报告

1). 诱饵文件“2019 年第一季度工作方向附表.rar”为一压缩文件,解压得到“2019 年第一季度工作方向附表.exe” 和“wwlib.dll”,其中“2019 年第一季度工作方向附表.exe”是word 2007 可执行程序,该文件是一个白文件,有微软的签名。“wwlib.dll”文件是点击“2019 年第一季度工作方向附表.exe”文件后会加载的黑文件。
 
图1.1 诱饵文件2019 年第一季度工作方向附表.rar
 
图1.2 2019 年第一季度工作方向附表.exe的签名
 
2). “wwlib.dll”文件信息。文件类型:pe32 dll,文件大小:1436879 bytes,时间戳: 0x5c60e815(mon feb 11 11:12:21 2019),md5:05e513c612b0384804db9bda5277087c,sha-1:fb46ed36c2f2dfd6ecfa898cd6cb176c4950df4f,sha-256:236623cd3be93a832ae86bb7bfbf66e6d5e00abbc6ebc6555c09988412448391。该文件被设置为隐藏文件。
 
3). 在系统盘符下的”\programdata\360semaintenance\”目录下释放2个文件,”chrome_elf.dll”和“360se.exe”。”360se.exe”是白文件,md5:a16702ed1812ddc42153ef070f3dfdd6,sha-1:d1d59d7b71d30af0ca65a52516663f5ff787cb74。
 
图3.1 释放”chrome_elf.dll”和“360se.exe”文件
 
图3.2 ”chrome_elf.dll”和“360se.exe”文件
 
图3.3 360se.exe的签名
 
4). 接着”wwlib.dll”根据 exe 程序名构造“2019 年第一季度工作方向附表.docx”字符串,然后 在%temp%目录写入带密码的 docx 文档,伪装自己是一个正常的文档。
 
图4.1 释放docx文件
 
图4.2 docx文件有密码
 
5). 如果首次运行,则会在注册表目录 “software\\classes\\”创建“.doc”和“.docx”项,然后调用 word程序打开释放到 temp 目录的.docx 文件。"c:\program files\microsoft office\root\office16\winword.exe" /n  "c:\users\jiangmin\appdata\local\temp\2019年第一季度工作方向附表.docx"  /o "%u"
 
图5.1 判断是否第一次运行
 
图5.2 运行
 
6). 查询注册表”software\\classes\\”存在“.doc”和“.docx”,如果存在说明不是第一次运行,则执行“360se.exe”文件,并附加temp 目录释放的 docx 文件路径为参数。
 
图6 执行360se.exe
 
7). 360se.exe会加载前面释放的chrome_elf.dll文件,chrome_elf.dll动态库的dllmain()中打开参数中的docx 文件,读取数据,调用cryptapi系列函数解密字符串,得到一个url:“https://officewps.net/ultra.jpg” 。然后删除前面的wwlib.dll文件。
 
图7.1 解密字符串
 
图7.2 删除文件wwlib.dll
 
8). 然后打开参数中的docx文档,检查是否存在software\\classes\\.docx和software\\classes\\.doc,如果没有则创建。
 
图8.1 打开docx文档
 
图8.2 检查注册表software\\classes\\.docx
 
图8.3 检查注册表software\\classes\\.doc
 
9). 然后360se.exe调用的chrome_elf.dll导出函数signalinitializecrashreporting(),遍历进程,如果没有名为的360se.exe进程则不执行后面的行为。
 
图9 遍历查找进程
 
10). 从前面解密的url”https://officewps.net/ultra.jpg”下载数据,然后申请新的内存空间将数据拷贝过去,最后执行下载的playload。由于该url已经失效,无法分析playload的后续行为。
 
图10.1 下载数据
 
图10.2 申请内存拷贝代码并执行
 
 
 

样本溯源分析

url:
域名指向ip:
14.128.9.26泰国2019-01-21
162.255.119.119美国2018-12-25
注册者:whoisguard protected
注册机构:whoisguard, inc.
邮箱:df5d01cc791a44a780b569ada86d00a8.protect@whoisguard.com
地址
电话: 507.8365503
注册时间:2018-12-13 07:13:28
过期时间:2019-12-13 07:13:28
更新时间:2018-12-13 07:13:28
域名服务商:namecheap inc
域名服务器:dns1.registrar-servers.com; dns2.registrar-servers.com

总结 

附录

hash

3b132e407474bc1c830d5a173428a6e1
05e513c612b0384804db9bda5277087c

c&c

更多推荐
网站地图