现代“碟中谍”——多国APT组织的杀戮之路（41页）.pdf

1、现代“碟中谍”多国APT组织的杀戮之路徐智鑫徐智鑫三零卫士 木星安全实验室 情报分析师目录序言0蓝宝菇/APT-C-12 黑客组织3TA505 黑客组织2APT-32/海莲花 黑客组织1PART 00PART 00序言序言什么是APT高级长期威胁（简称：APT），又称高级持续性威胁、先进持续性威胁等，是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素：高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标，并从其

2、获取数据。威胁则指人为参与策划的攻击。PART 01PART 01APT-32/海莲花组织背景海莲花黑客组织是近些年来频繁针对东南亚地区进行攻击的活跃APT组织之一，自从被友商披露后逐渐进入大家的视野，但该组织的攻击活动并没有因为被披露而进入“睡眠期”，而是一直处于“活跃期”。组织来源：疑为越南或越南周边区域攻击地域：中国、柬埔寨、老挝、菲律宾、以及其他东南亚国家攻击目标：能源、高校、海事、金融、政府、科研海莲花黑客组织是非常灵活的黑客组织，擅长使用开源工具或商业工具并将其定制化开发使其变为私有工具，例如知名的商业木马 Cobalt Strike 和 开源木马 gh0st。擅于利用多层 she

3、llcode内存加载技术和脚本语言来逃避终端威胁检测。普通宏文档攻击该样本宏代码，首先会把硬编码的数据通过Data变量相加，然后通过Base64解码将解码后的vbs代码，释放到msohtml.log，并判断相应的系统位数，把对应的wscript.exe复制windowsSysWOW64msohtml.exe普通宏文档攻击通过复制的msohtml.exe（wcript.exe）执行msohtml.log脚本，并创建计划任务来维持持久化。普通宏文档攻击msohtml.log脚本会把cs数组里的数据和 372异或解密后并执行。解密后的脚本如图，该脚本的作用是下载指定网址中的海莲花后门并执行，下载地址

4、则是由cs数组里的数据和192异或解密得到。一磅字体文档攻击该钓鱼文档使用新型攻击方式，使用一磅字体在正文中隐藏恶意的攻击代码，（右上）为打开文档时的诱惑图文，（右下）为该文档下一页中隐藏的一磅字体数据，将其放大后（左下）为Base64编码的数据。一磅字体文档攻击接下来我们看该文档的攻击宏，该样本触发宏代码后，首先会执行EI开头的函数，该函数首先将自身Office文档拷贝到Temp下。一磅字体文档攻击GL开头的函数的功能为随机生成字符串，即将文档随机命名后拷贝到Temp目录下。随后修改注册表并禁用宏安全选项。一磅字体文档攻击接着打开Temp下的doc文件。将原本的宏代码移除。并将文本中正数第一

5、段的宏代码插入。一磅字体文档攻击读取的Word正文中的第一段内容，将其插入到宏代码中。进入该函数会看到，首先取段落倒数第五段（也就是正数第一段）数据（共5段，2个空段，3个有hex数据段），从Hex转换为Bin。LS开头的函数的作用是将Hex数据转换为Bin。一磅字体文档攻击随后设置宏的安全性，延时1秒后执行该宏代码的x_N0th1ngH3r3方法。将文本格式清除后，可以看到其中3段是有数据的。其格式为：倒数：空行+脚本+脚本+空行+脚本。正数：脚本+空行+脚本+脚本+空行。第一段正文的脚本x_N0th1ngH3r3方法与之前的类似，以相同的方式写入文档中倒数第三段（正数第三段）的宏代码，并调

6、用x_N0th1ngH3r3方法。第三段正文的脚本该宏代码从x_Noth1ngH3r3开始执行，该段宏代码主要是改写进程内存，将倒数二段（正数第四段）数据复制到内存中去执行，而该段数据则是ShellCode版的海莲花后门。模板注入文档攻击模板注入文档攻击，是近期较为新颖的攻击方式，依托原本的微软功能实现了宏代码云下载，具备无文件的特性以及很好的免杀效果，样本启动后会去指定的服务器拉去指定的模板，存在TargetMode字段则会加载远程模板，如果不存在则加载本地模板。模板注入文档攻击fdsw.png为模板类型，其中包含宏代码，该宏代码首先会根据是否存在syswow64/cmd.exe判断系统是3