技术剖析:海莲花(OceanLotus)根本不是APT,它只是一个普通木马
写在前面
上周360发布了一篇关于名为"海莲花"的分析报告,当时觉得碉堡了。然后我就很好奇——"海莲花"和"蓝莲花"啥关系,许巍干的?
当看到29个省和36个国家都被感染后,第一反应是想一下中国有几个省。看了一下评论,感觉褒贬不一。隐约觉得和以往比较复杂的APT相比"海莲花"简直微不足道。
已经公布出来的攻击事件震网、duqu以及最近的"方程式"远远比"海莲花"复杂。
值得吐槽的是"Tester","Encryptor","Cloudrunner","MAC"这几个名字。我猜命名者肯定英语也就是"Are you ok?"的水平——年初的"方程式(Equation)"中有几个命名: Equation Laser、Equation Drug、Double Fantasy、Triple Fantasy、Fanny 和GrayFish,哪个听起来不是高大上? 说的有点远.……
技术剖析“海莲花”
周一上午在VT上找到了360报告中给出的文件哈希(有两个)。很神奇的是:这两个文件其中一个在今年2月2号和5月30号被提交过,另一个则在今年3月25号和6月1号提交过。
这两个文件的MD5分别是:
41bced8c65c5822d43cadad7d1dc49fd(NetcaEKeyClient.exe,360报Trojan.Generic). 0529B1D393F405BC2B2B33709DD57153(rtx.exe,360报Win32/Trojan.e08)(链接参看尾部).
简单的分析了一下发现有如下行为:
(1) 将自身拷贝到临时目录,并且以参数"–ping 原始文件路径 随机字符串"的形式启动这个临时文件。其中随机字符串大概是计算机和随机数的组合(没细看). 参数的意义仅仅是判断当前进程是否在临时目录中。
(2)在临时目录中启动的文件会有查找资源行为,有反虚拟机的行为(Vmware,virtualPC),有遍历进程终止特定进程的行为等。
这两个文件代码基本上一样,时间戳不一样。我在它们中发现了一个字符串 {03007495-09bb-4334-987a-ae7586bca024},然后在google中搜索了一下。让我很诧异:搜索结果全部来自于totalhash.com,显示有大约有440个结果。
截图如下(后附链接):
随便点开一个,在行为描述里找到如下内容:
和我分析的那个差别是"–ping"变成了"–help".它的版本显示的是winword.exe,事实上它就是一个伪装成word的程序。
扫描结果显示如下:
然后我下载了几个样本比较了一下,发现基本上没有差别。于是我开始怀疑这应该是有一个"生成器".我和我的小伙伴试图去找这个"生成器",但是没有成功。
晚上的时候,小伙伴根据关键字"sidebar.exe"和"sidebar.job"找到一个名字为www.shanghai.gov.cn的网站,里面关于后门Backdoor.Salgorea的介绍引起了我们的注意:它创建一个部分修改的自身文件到一个临时文件夹,并以参数“–help”运行.然后我们找到了赛门铁克关于Backdoor.Salgorea的介绍,确定了那篇报告来自于赛门铁克。报告中提到发现日期为2013年3月17号。
我们这个时候开始推断360给哈希的样本有可能是Backdoor.Salgorea的变种。
接着我们在totalhash.com上搜索了Backdoor.Salgorea,共有91个样本。我下载了一个文件MD5为:aee59100cad266050ba816714551a6ad的文件。这个文件在virusTotal上赛门铁克报:Backdoor.Salgorea.360报:Malware.QVM10.Gen(应该为老版本QVM).
然后和MD5为41bced8c65c5822d43cadad7d1dc49fd的文件做了比较发现代码逻辑一致:
其中aee59100cad266050ba816714551a6ad的启动参数如下:
41bced8c65c5822d43cadad7d1dc49fd的启动参数如下:
临时目录中的文件启动后开始执行处的代码完全一样.
aee59100cad266050ba816714551a6ad为:
41bced8c65c5822d43cadad7d1dc49fd 为:
反虚拟机部分代码如下:
aee59100cad266050ba816714551a6ad代码:
41bced8c65c5822d43cadad7d1dc49fd的代码:
在aee59100cad266050ba816714551a6ad好像没有遍历进程的行为(我在导入表中,没有看到相关函数),但是41bced8c65c5822d43cadad7d1dc49fd是有遍历进程的行为。它对找到的进程名算了一下哈希。如果哈希和指定的值相同,就杀死这个进程。相关代码:
经过更加深入的分析,我们判断这两个文件应该是共用了一个载体,也就是共用一个dropper.这个dropper具备基本的功能:将恶意代码拷贝到临时目录,打开伪装的word文件,后台运行恶意代码。
总结
到了这里我们的"海量数据"分析基本完成了。现在就是"思考"时间,我们考虑了以下问题:
1. Backdoor.Salgorea是个什么?
Backdoor.Salgorea是赛门铁克报的名字,其他家报的不尽相同。所以我们推断这类样本应该更多。这类样本大部分都是伪装成文档(其实是一个exe),骗取用户点击。也有伪装成KeePass.exe的。伪装成winword的版本信息常见的有office 2003和office 2007. 这些程序是VC开发的,从时间戳上看有的程序可能是2008年就有了,这些样本在2013年和2014应该属于比较流行的。对这些样本360报:Gen:Variant.Graftor.96740, Gen:Variant.Zusy.58276, Backdoor.Generic.773521.前两个名字应该是bitdefender的启发检测结果。
对这些样本我们推测要么样本代码已经泄露,要么是有特定的生成器。样本生成器是最方便的。
2.在360报告中给处的"部分水坑服务器中出现的恶意文件"和Backdoor.Salgorea有关系吗?
我们找到了列表中的两个文件(下图标红的文件):
和Backdoor.Salgorea做了分析比较后,我们可以肯定的说dropper功能部分代码是高度相似的。其中41bced8c65c5822d43cadad7d1dc49fd在virustotal上的行为分析报告中有如下内容:
这个和报告中的OceanLotus Encryptor行为一致,所以我们推测41bced8c65c5822d43cadad7d1dc49fd属于OceanLotus Encryptor。
"海莲花"不是APT
好了,到这里我们给出自己的观点:"海莲花"不是APT,它只是一个普通木马。算起来和Backdoor.Salgorea应该是“亲兄弟"。
它们使用的dropper代码基本上是一样的。那么会不会是某组织使用了这个木马来出于政治目的攻击政府部门呢?我们觉得这个也不太可能。从历史上发现的APT看,它们使用的代码或工具在被发现之前基本上都没有在真实的环境中出现过,也就是说他们不会使用已经公开的代码或者工具来实施攻击。从我们的分析报告中可以很明显的看出来OceanLotus Encryptor的手法和Backdoor.Salgorea是一致的。Backdoor.Salgorea是一个钓鱼木马早就被捕获,目前没有任何一家声称它是有针对性的或者发现了组织来源。
同以往的APT相比"海莲花"只能算它们的某一个组件,在360的报告中对于OceanLotus Encryptor的描写只有寥寥几句共百十个字。而对于”方程式“卡巴以一周或者半月的间隔发布分析报告,每一篇都详解了每一个模块,每一个组件的功能。赛门铁克花了不低于三个月的时间艰苦的分析了qudu,然后发布了长长的分析报告讲述了每一个组件的功能。同时在报告中明确地指出了duqu和震网的关联性.反观360的分析报告中只用了"早期出现的Tester木马在攻击对象、文件伪装特征、连接的C2服务器域名和窃取文件的特征等方面,与后来捕获的其他3种木马形态的样本存在诸多交集和共同点"这样的一句话就交代了关联性。报告中对于攻击手段也是语焉不详。
在报告中提到了“29个省和36个国家被感染”——这种行为也是不符合常理的。一个APT如此明目张胆? 这中情况只在普通木马中最为常见。并且这个数字也是存疑的,感染范围这么广在历史上恐怕也是非常罕见的,这种情况肯定早就引起了各大安全厂商的重视。
所提我们觉得请不要把一个钓鱼木马拔高为APT,否则震网会哭死在厕所里,”方程式“会哭死在厕所里。
相关链接
(1)搜索字符串”{03007495-09bb-4334-987a-ae7586bca024}”的链接(显示重复的结果):
https://www.google.com/#q=%7B03007495-09bb-4334-987a-ae7586bca024%7D&newwindow=1&filter=0
(2)41bced8c65c5822d43cadad7d1dc49f和0529B1D393F405BC2B2B33709DD57153的VT链接:
https://www.virustotal.com/en/file/d3cf53d74868625d4ee00e367162798f829acf532bad69cf1b7ce959de0e072a/analysis/
https://www.virustotal.com/en/file/e6594d11244357537fa3ef5292cb52ccbd7c8f26a277f7003ade80964351878f/analysis/
(3) Backdoor.Salgorea在TotalHash上的搜索结果:
TotalHash搜索结果不稳定,最好通过google搜索进去。
https://totalhash.cymru.com/search/av:Backdoor.Salgorea
(4)aee59100cad266050ba816714551a6ad 在TotalHash和VT上的结果:
https://totalhash.cymru.com/analysis/cc36d5ea4eb30a726de92cb771a76008da703baf
https://www.virustotal.com/en/file/2201fea2e7e1791082666598afaefce80e786d30fcff347bd4235e524598511d/analysis/
(5) Backdoor.Salgoreag分析报告:
http://www.shanghai.gov.cn/shanghai/node2314/node2315/node17239/node17241/u21ai728540.html
http://www.symantec.com/security_response/writeup.jsp?docid=2013-031800-5826-99&tabid=2
*作者:毒舌评论砖家,本文属FreeBuf原创奖励计划,未经许可禁止转载
正文到此结束
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
