Trojan.OceanLotus.UrsuA分析报告

2020-08-17 来源：安全播报

样本信息样本名称： Trojan.Ursu.a。样本家族：海莲花样本类型：白利用。 MD 5 ： 05E513C612B0384804DB9BDA5277087C。 SHA1： FAD949D96667A1DC0161D14132865B7B886B1137。文件类型： Win32dll。文件大小：

样本信息

样本名称：Trojan.Ursu.a。
样本家族：海莲花
样本类型： 白利用。
MD5： 05E513C612B0384804DB9BDA5277087C。
SHA1： FAD949D96667A1DC0161D14132865B7B886B1137。
文件类型：Win32 dll。
文件大小：1436879 bytes。
传播途径：暂无。
专杀信息：暂无
影响系统：Win7 x64，win8，win10。
样本来源：互联网
发现时间：2019.04
入库时间：2019.04
C2服务器：https://officewps.net/ultra.jpg。

样本概况

2012年4月起至今，某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。该境外黑客组织被命名为“海莲花(OceanLotus)”。该组织主要通过鱼叉攻击和水坑攻击等方法，配合多种社会工程学手段进行渗透，向境内特定目标人群传播特种木马程序，秘密控制部分政府人员、外包商和行业专家的电脑系统，窃取系统中相关领域的机密资料。
近期江民全球样本态势系统捕获了到了最新的攻击诱饵文件。诱饵文件名为“2019 年第一季度工作方向附表.rar”，该诱饵在攻击过程中使用了两层白利用进行 DLL劫持，第一层为 Word 白利用，第二层为 360 安全浏览器白利用。最终投递的木马为 Cobalt Strike Beacon 后门，具备进程注入、文件创建、服务创建、文件释放等功能，C2 通信使用 Safebrowsing 可延展 C2 配置。

样本危害

伪装成word文档，点击后通过白利用加载有害的动态库，最终会下载指定的任意代码并执行，实现木马的投递。

手工清除方法

1). 删除文件
2019年第一季度工作方向附表.rar
wwlib.dll
2019年第一季度工作方向附表.EXE
%temp%\2019 年第一季度工作方向附表.docx
C:\ProgramData\360seMaintenance\chrome_elf.dll。
C:\ProgramData\360seMaintenance\360se.exe。
2). 删除注册表
3). HKEY_CURRENT_USER\Software\Classes\.docx
HKEY_CURRENT_USER\Software\Classes\.doc

漏洞补丁信息

无

应对措施及建议

1). 不要轻信发件人地址中显示的“显示名”。因为显示名实际上是可以随便设置的，要注意阅读发件邮箱全称。
2). 不要轻易点开陌生邮件中的链接。正文中如果有链接地址，切忌直接打开，大量的钓鱼邮件使用短链接（例如http://t.cn/zWU7f71）或带链接的文字来迷惑用户。如果接到的邮件是邮箱升级、邮箱停用等办公信息通知类邮件，在点开链接时，还应认真比对链接中的网址是否为单位网址，如果不是，则可能为钓鱼邮件。
3). 不要放松对“熟人”邮件的警惕。攻击者常常会利用攻陷的组织内成员邮箱发送钓鱼邮件，如果收到了来自信任的朋友或者同事的邮件，你对邮件内容表示怀疑，可直接拨打电话向其核实。
4). 管理用户账号权限，遵从系统和应用账户权限最小化原则，限制授权用户对管理员级别权限的访问。
5). 加强系统和软件的及时升级，打全补丁。
6). 修改UAC的默认设置，将其修改为“始终通知并等待我的响应”。除此之外，在授权某项操作时，还应该要求用户输入密码。

行为概述

文件行为

1). 创建文件C:\ProgramData\360seMaintenance\chrome_elf.dll。
2). 创建文件C:\ProgramData\360seMaintenance\360se.exe。
3). 创建文件%temp%\2019 年第一季度工作方向附表.docx。
4). 删除文件wwlib.dll

进程行为

1). 创建进程c:\program files\microsoft office\root\office16\winword.exe。
2). 创建进程C:\ProgramData\360seMaintenance\360se.exe

注册表行为

1). 修改注册表项
HKEY_CURRENT_USER\Software\Classes\ocsmeet_auto_file\shell\edit\command= "C:\Program Files\Microsoft Office\Root\Office16\lync.exe" "%1"。
2). 修改注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ocsmeet\UserChoice\Progid=ocsmeet_auto_file。
3). 修改注册表项
HKEY_CURRENT_USER\Software\Classes\WORD.19\shell\open\command= C:\ProgramData\360seMaintenance\360se.exe /n "%1" /o "%u"
4). 创建注册表项
HKEY_CURRENT_USER, L"Software\\Classes\\.docx
HKEY_CURRENT_USER, L"Software\\Classes\\.doc

网络行为

1) 试图从https://officewps.net/ultra.jpg下载数据。

详细分析报告

1). 诱饵文件“2019 年第一季度工作方向附表.rar”为一压缩文件，解压得到“2019 年第一季度工作方向附表.EXE” 和“wwlib.dll”，其中“2019 年第一季度工作方向附表.EXE”是Word 2007 可执行程序，该文件是一个白文件，有微软的签名。“wwlib.dll”文件是点击“2019 年第一季度工作方向附表.EXE”文件后会加载的黑文件。

图1.1 诱饵文件2019 年第一季度工作方向附表.rar

图1.2 2019 年第一季度工作方向附表.EXE的签名

2). “wwlib.dll”文件信息。文件类型：PE32 DLL，文件大小：1436879 bytes，时间戳： 0x5C60E815(Mon Feb 11 11:12:21 2019)，MD5：05E513C612B0384804DB9BDA5277087C，SHA-1：FB46ED36C2F2DFD6ECFA898CD6CB176C4950DF4F，SHA-256：236623CD3BE93A832AE86BB7BFBF66E6D5E00ABBC6EBC6555C09988412448391。该文件被设置为隐藏文件。

3). 在系统盘符下的”\ProgramData\360seMaintenance\”目录下释放2个文件，”chrome_elf.dll”和“360se.exe”。”360se.exe”是白文件，MD5：A16702ED1812DDC42153EF070F3DFDD6，SHA-1：D1D59D7B71D30AF0CA65A52516663F5FF787CB74。

图3.1 释放”chrome_elf.dll”和“360se.exe”文件

图3.2 ”chrome_elf.dll”和“360se.exe”文件

图3.3 360se.exe的签名

4). 接着”wwlib.dll”根据 EXE 程序名构造“2019 年第一季度工作方向附表.docx”字符串，然后在%Temp%目录写入带密码的 docx 文档，伪装自己是一个正常的文档。

图4.1 释放docx文件

图4.2 docx文件有密码

5). 如果首次运行，则会在注册表目录 “Software\\Classes\\”创建“.doc”和“.docx”项，然后调用 WORD程序打开释放到 Temp 目录的.docx 文件。"C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n "C:\Users\jiangmin\AppData\Local\Temp\2019年第一季度工作方向附表.docx" /o "%u"

图5.1 判断是否第一次运行

图5.2 运行

6). 查询注册表”Software\\Classes\\”存在“.doc”和“.docx”，如果存在说明不是第一次运行，则执行“360se.exe”文件，并附加Temp 目录释放的 docx 文件路径为参数。

图6 执行360se.exe

7). 360se.exe会加载前面释放的chrome_elf.dll文件，chrome_elf.dll动态库的DllMain()中打开参数中的docx 文件，读取数据，调用CryptAPI系列函数解密字符串，得到一个URL：“https://officewps.net/ultra.jpg” 。然后删除前面的wwlib.dll文件。

图7.1 解密字符串

图7.2 删除文件wwlib.dll

8). 然后打开参数中的docx文档，检查是否存在Software\\Classes\\.docx和Software\\Classes\\.doc，如果没有则创建。

图8.1 打开docx文档

图8.2 检查注册表Software\\Classes\\.docx

图8.3 检查注册表Software\\Classes\\.doc

9). 然后360se.exe调用的chrome_elf.dll导出函数SignalInitializeCrashReporting()，遍历进程，如果没有名为的360se.exe进程则不执行后面的行为。

图9 遍历查找进程

10). 从前面解密的URL”https://officewps.net/ultra.jpg”下载数据，然后申请新的内存空间将数据拷贝过去，最后执行下载的playload。由于该URL已经失效，无法分析playload的后续行为。

图10.1 下载数据

图10.2 申请内存拷贝代码并执行

样本溯源分析

URL：https://officewps.net/ultra.jpg
域名指向IP：
14.128.9.26泰国2019-01-21
162.255.119.119美国2018-12-25
注册者：WhoisGuard Protected
注册机构：WhoisGuard, Inc.
邮箱：df5d01cc791a44a780b569ada86d00a8.protect@whoisguard.com
地址
电话：+507.8365503
注册时间：2018-12-13 07:13:28
过期时间：2019-12-13 07:13:28
更新时间：2018-12-13 07:13:28
域名服务商：NAMECHEAP INC
域名服务器：dns1.registrar-servers.com; dns2.registrar-servers.com

总结

附录

Hash

3B132E407474BC1C830D5A173428A6E1
05E513C612B0384804DB9BDA5277087C

C&C

https://officewps.net/ultra.jpg

返回列表