疑似“海蓮花”組織早期針對國內高校的攻擊活動分析

摘要： 背景 360威脅情報中心近期發現了“海蓮花”組織使用的新的CVE-2017-11882漏洞文件，通過對該漏洞文件及相關攻擊活動的分析，我們關聯到該組織近期針對南亞國家的攻擊活動。並且發現了疑似“海蓮花”組織在2017年5月初針對國內實施的一次集中式的攻擊活動，結合內部的威脅情報資...

背景

360威脅情報中心近期發現了“海蓮花”組織使用的新的CVE-2017-11882漏洞文件，通過對該漏洞文件及相關攻擊活動的分析，我們關聯到該組織近期針對南亞國家的攻擊活動。並且發現了疑似“海蓮花”組織在2017年5月初針對國內實施的一次集中式的攻擊活動，結合內部的威脅情報資料，我們認為這是該組織利用“永恆之藍”漏洞實施的一輪重點針對國內高校的攻擊活動。

本報告將詳細分析“海蓮花”組織新的攻擊活動中利用的攻擊技術細節，並披露其在2017年5月實施的攻擊行動詳情，以及其中的關聯性。

CVE-2017-11882漏洞文件

360威脅情報中心近期發現了一個“海蓮花”組織使用的CVE-2017-11882漏洞文件（MD5：b123f9151c5e7057f061f3e03c1e8416）。

檢視漏洞文件內容可以發現，其中使用\objemb指定物件為嵌入式ole物件，並使用\objupdate，強制物件更新，接下來\objdata後面跟著一個Equation3.0物件，並做了大量的混淆，用於對抗殺軟引擎識別。將Equation3.0 物件dump出來後，發現棧溢位後返回地址為0x00402114 。

其會跳轉到shellcode，shellcode會暴力搜尋檔案控制代碼然後通過CreateFileMapping\ MapViewOfFile建立檔案對映，然後判斷檔案頭偏移0x3F2C處的一個dword值是否為0x79797979來判斷是不是之前的rtf檔案，如果是則先獲取rtf檔案的路徑，然後拷貝為temp目錄下的ole.dll，接著從檔案尾讀取的0xC個位元組，即”AA BB CC DD 47 A1 1F 00 79 79 79 79″。再次判斷成功後，設定檔案指標偏移並讀取0x1FA147個位元組的shellcode，啟動一個新執行緒執行這段shellcode。

這段新的shellcode將遍歷system32目錄下的檔案，檢查有沒有vmGuestLibJava.dll以檢測虛擬機器，如果有則在%appdata%目錄下建立一個名為VMware Guest API Java Support的目錄，釋放一系列檔案；否則在Program Files下建立名為NLS_000001的目錄並釋放檔案。

其中釋放的檔案列表如下：

釋放檔名	說明
vmGuestLibJava.exe	Intel(R) Local Management Service 帶白簽名檔案
ACE.dll	載入vmGuestLibJava.db3的shellcode
Common.dll	載入vmGuestLibJava.db3的shellcode
GmsCommon.dll	載入vmGuestLibJava.db3的shellcode
MSVCP100.dll	載入vmGuestLibJava.db3的shellcode
MSVCR100.dll	載入vmGuestLibJava.db3的shellcode
WsmanClient.dll	載入vmGuestLibJava.db3的shellcode
vmGuestLibJava.db3	Shellcode

接著建立計劃任務以啟動vmGuestLibJava.exe，這是一個Intel的簽名白檔案，匯入表中包含了上面列出的ACE.dll、Common.dll等等，這些釋放的dll檔案實際功能一樣，其在匯出函式中會讀取vmGuestLibJava.db3的shellcode並執行：

其中載入shellcode的部分如下所示。

這段Shellcode再次解密出一個PE並對映到記憶體中，dump出來後發現是{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll，這個dll為“海蓮花”組織使用，並在360威脅情報中心多份“海蓮花”報告中都有提及，其連線域名如下。

nnggmpggmeggidggjjggmhggmpggjhggmkggmpggnhggmpggjnggmeggmegg.ijmlajip.straliaenollma.xyz

nnggmpggmeggidggjjggmhggmpggjhggmkggmpggnhggmpggjnggmeggmegg.ijmlajip.ourkekwiciver.com

nnggmpggmeggidggjjggmhggmpggjhggmkggmpggnhggmpggjnggmeggmegg.ijmlajip.dieordaunt.com

結合360威脅情報平臺，其中ourkekwiciver.com的子域名於2018年6月5日建立，並對映IP記錄154.16.138.89，該IP已經打上“海蓮花”組織的標籤。

下圖為相關域名的近期訪問情況，可以看到仍然活躍。

“海蓮花”組織近期針對柬埔寨的攻擊活動

通過漏洞文件中使用的相關控制域名資訊，並結合360威脅情報資料，我們發現這是“海蓮花”組織近期針對柬埔寨人員的APT攻擊活動。

攻擊程式碼

我們對該次攻擊活動中使用的一些攻擊載荷和程式碼的分析如下。

PowerShell載荷

“海蓮花”組織將部分PowerShell攻擊程式碼偽裝成圖片檔案，並託管在遠端伺服器地址，例如https://olosirsch.com/cars.png，https://olosirsch.com/search.gif。

其下載後內容為一段PowerShell程式碼，其會分配一段記憶體空間，將需要執行的shellcode程式碼拷貝到記憶體中，並建立執行緒執行。

其中shellcode被base64編碼，解碼後可以發現程式碼的花指令與之前“海蓮花”組織使用的shellcode一模一樣。

其中shellcode首先通過PEB獲取kernel32的地址和LoadLibrary, GetProcAddress兩個函式的地址，然後使用GetProcAddress獲取VirtualAlloc等函式。接著在記憶體按PE格式依次從PE頭、節表、節的順序複製並解密一個PE檔案，然後處理其匯入表, 重定位表並呼叫DllMain。

通過檢視該DLL的匯出表, 可以看到該DLL名叫{79828CC5-8979-43C0-9299-8E155B397281}.dll，且只有一個匯出函式名為DllEntry。此dll檔案命名和程式碼與“海蓮花”歷史使用的dll檔案類似。

匯出函式DllEntry實際會在記憶體解密兩個PE檔案。其中一個PE結構很多欄位填0, 沒有匯出表，而另一個通過檢視匯出表發現Dll名為http.dll。

其會從資源中獲取一系列控制域名：

dyndns.angusie.com

time.ouisers.com

news.denekasd.com

ipv6.uyllain.com

接著建立多個執行緒, 並向控制域名發起POST請求傳送資料。

白利用技術

PowerShell載荷使用了McAfee mcods.exe檔案的白利用技術載入惡意的mcvsocfg.dll檔案，並且最終訪問了遠端控制IP的特定埠。

橫向移動載荷

我們還發現“海蓮花”組織在橫向移動過程中會在內網的目標機器上使用MsBuild.exe編譯生成用於下載、執行PowerShell程式碼的Loader程式,可以執行本地指定的PowerShell指令碼，也可以下載執行指定URL的PowerShell程式碼。

攻擊過程

結合攻擊活動中使用的載荷檔案等資訊，我們推測該APT攻擊活動的攻擊過程如下。

攻擊階段	使用技術
攻擊入口	利用魚叉郵件投遞漏洞文件，如CVE-2017-11882漏洞文件
初始控制	利用McAfee的白利用技術執行核心dll載荷
橫向移動	使用nbt.exe進行掃描 net.exe實現IPC使用者新增 MsBuild.exe在內網機器上編譯生成惡意dll模組並執行

受害目標

我們發現“海蓮花”的此次攻擊活動中，從2018年3月針對柬埔寨的某機構網路實施了攻擊滲透，並通過執行PowerShell載荷請求獲取遠端URL連結。

ofollow,noindex" target="_blank">http://isp.cambodiadaily.org/dot.gif

http://myaccount.philtimes.org/IE9CompatViewList.xml

這兩個域名看起來像是仿冒philtimes.com和cambodiadaily.com這兩個域名，於2017年4月28日同一天註冊的。

根據對海蓮花滲透柬埔寨某機構過程的分析，我們發現源頭之一在該機構一個出口IP上，這個IP的80埠指向了一個路由器登入介面：

可以看到該路由器型號為MikroTik，系統版本為 RouterOS v6.40.4，而該路由器系統版本存在漏洞，其最早在2017年披露的CIA Vault7中的Chimay Red工具[1]中使用，該路由器相關漏洞近期也由360網路研究院的一篇挖礦攻擊的文章中所提及[3]。梳理相關時間線資訊如下：

• 2017年3月7日，維基解密披露了 CIA Vault7專案，其中包含的Chimay Red工具能夠攻擊RouterOS，並上傳執行攻擊載荷；
• 2017年12月，安全研究人員公開披露了Chimay Red的攻擊利用程式[2]；
• 2018年3月，柬埔寨某出口 IP 下被海蓮花組織攻擊，其 IP 下路由器為MikroTik型號；
• 2018年4月23日，Mikrotik修補了相關漏洞，相關漏洞 ID 為CVE-2018-14847，並影響 RouterOS 6.42以下的系統版本，能夠進行繞過認證實現任意目錄讀取。

我們結合事件的時間線和相關線索推測存在“海蓮花”組織利用了路由器的漏洞攻擊進入目標網路的可能。

“海蓮花”組織利用“永恆之藍”（EternalBlue）的攻擊行動

我們結合上述攻擊事件中“海蓮花”使用的攻擊利用技術（如使用 McAfee mcods.exe檔案的白利用技術），控制通訊特徵以及使用的控制基礎設施的重疊，發現疑似該組織在2017年5月初對我國境內實施了一次集中的攻擊行動，其主要的攻擊目標為境內的大學高校。結合相關線索，我們認為是“海蓮花”組織利用永恆之藍漏洞的一次嘗試攻擊。

攻擊程式碼

lavaudio.exe

該惡意程式通過服務的形式啟動，服務名為Netmans，執行之後會執行檔案

c:\program+files\intel\opencl\bin\x86\clang_compiler32.exe

clang_compiler32.exe

該惡意檔案是一個遠控木馬，其會解密出4個C2地址，然後連線該C2的IP地址，然後實現遠控的功能。

解密演算法是和0x39相加解密：

和0x27相加解密出C2資訊：

解密出的4個C2地址為：

cloud.sicaogler.com

news.coleope.com

fox.ailloux.com

cnn.befmann.com

解析後連線IP的61781埠。

遠控的訊息分發模組如下：

以下為遠控的建立檔案操作：

截至我們分析時，該樣本檔案在VT上依然具有比較好的免殺效果。

通過搜尋發現也有國外人員感染該木馬程式，並且hash都一樣(http://processchecker.com/file/clang_compiler32.exe.html)。

對比本次事件中木馬連線的網路資料格式和針對柬埔寨攻擊事件中的木馬連線網路資料格式一致，並且使用了相同的遠端埠號。可見兩個事件中使用的木馬控制通訊協議具有同源性。

通過分析資料包格式，協議類似gh0st RAT 的格式：

99 01 00 00 //壓縮前的資料包長度

a6 00 00 00 //壓縮後長度

78 9c 63 62 20 00 8c 0c//內容

0c 4d 0d 8c 8d 8c 75 0d 0d 8d 8d 19 18 1c 53 72

33 f3 32 8b 4b 8a 12 4b f2 8b a0 4a 58 19 99 19

18 81 f4 24 f7 99 6e 2e 0e 57 18 41 6c 47 06 5f

06 17 06 05 86 00 06 67 06 3f 06 57 86 10 20 db

8d 21 91 21 97 21 93 21 87 a1 12 2a e3 09 a4 5d

19 4a 18 32 18 52 19 8a 18 f2 80 64 09 50 c4 91

21 05 a8 b2 00 c8 06 89 2a 30 e8 02 71 41 6a 5e

32 6b f0 c2 6e a1 20 ee aa fe b8 75 f1 dd e1 ef

ab 1e 07 e3 71 37 8f e6 89 3a 3e 06 86 03 2b f4

1b d0 a5 18 09 f9 79 30 00 00 23 75 24 cb

解密方法是用zlib解密，如圖：

關聯分析

對該事件中攻擊使用的控制域名進行分析，我們發現域名註冊於2017年4月27和28日兩天，而針對柬埔寨攻擊事件中的仿冒域名同樣註冊於2017年4月28日：

對相關事件的時間線進行梳理如下：

並且我們對該事件相關受害者在事件發生時間範圍的感染數量趨勢圖如下，其中大部分感染使用者屬於國內多個高校的網路，並且其中一個感染使用者為國內某大型能源企業駐烏干達的機構所屬。

在感染量上從 WannaCry 事件全面爆發之後的首個工作日開始呈下降和停止趨勢。

更多分析推斷

360威脅情報中心通過關聯的線索發現，2017年5月上旬的攻擊活動應該是海蓮花所為，他們使用已知的NDAY漏洞永恆之藍漏洞嘗試攻擊了國內的目標，並重點針對國內的高校網路，並隨後進行橫向滲透。

我們也同時發現在該次攻擊行動中，“海蓮花”組織並未使用其慣用的攻擊惡意程式碼和工具，結合整個事件相關的時間線，我們作出如下合理的推測：

1. MS17-010 的攻擊利用程式碼公開之後，“海蓮花”組織利用公開的利用程式碼對目標實施攻擊嘗試，並且為了避免攻擊活動被追溯，其選擇修改開源RAT程式碼作為投遞的攻擊載荷，其首選了具有較強穩定性且開源的gh0st RAT 作為其控制通訊方式，並且做了精簡和改造以後達到更好的免殺效果；

2. 由於“海蓮花”組織在開始實施相關攻擊活動的數日之後，在國內爆發了WannaCry事件，導致大量受害主機進行清除和還原，一定程度影響了該組織的攻擊實施和效果，導致在此事件後相關的感染目標數量急劇減少。

在分析過程中我們也發現了兩次攻擊活動之間存在某些聯絡，包括：

• 使用了類似的攻擊控制通訊協議
• 控制基礎設施在同一時間註冊
• 使用了同樣的白利用技術
• 推測都利用了公開的漏洞利用工具輔助達到攻擊滲透的目的等等。

結合內部更多線索的重合，我們認為該次事件的攻擊來源疑似“海蓮花”組織。

總結

結合對過去“海蓮花”組織的攻擊跟蹤，我們認為該組織一直在不斷更新和演變其攻擊的戰術技術特點，並擅長於利用開源或公開的攻擊工具和程式碼用於自身的攻擊活動中。

在本報告中，360威脅情報中心再次發現該組織近期的攻擊活動，並根據相關線索挖掘到其歷史的一次集中式的攻擊行動。我們結合多方面的情報線索，梳理並嘗試還原其攻擊使用的主要手法和技術特點，並給出了一些合理的推測觀點。

從這兩次攻擊活動中可以看出，網路武器庫的洩露不僅加劇了網路防禦下的嚴峻現狀，而 APT 組織基於洩露的網路武器程式碼往往能夠達到事半功倍的攻擊效果。

目前，基於360威脅情報中心的威脅情報資料的全線產品，包括360威脅情報平臺（TIP）、天眼高階威脅檢測系統、360 NGSOC等，都已經支援對此APT攻擊團伙攻擊活動的檢測。

IOC/">IOC

dieordaunt.com

ourkekwiciver.com

straliaenollma.xyz

dyndns.angusie.com

time.ouisers.com

news.denekasd.com

ipv6.uyllain.com

hotel.bookingshop.info

school.obertamy.com

news.exandre.com

cloud.reneark.com

cctv.avidsonec.com

cloud.sicaogler.com

cnn.befmann.com

news.coleope.com

fox.ailloux.com

myaccount.philtimes.org

isp.cambodiadaily.org

cert.opennetworklab.com

ns1.cambodiadaily.org

hotel.bookingshop.info

login.ticketwitheasy.com

http://hotel.bookingshop.info/__utm.gif

http://login.ticketwitheasy.com/dpixel

https://olosirsch.com/droper

https://olosirsch.com/flush.gif

http://myaccount.philtimes.org/IE9CompatViewList.xml

http://isp.cambodiadaily.org/dot.gif

http://cert.opennetworklab.com/verify/certificates/logo.png

5bcf16810c7ef5bce3023d0bbefb4391

a532040810d0e34a28f20347807eb89f

0aed0d7deb43ea3a84b7ef94feec0801

參考連結

1. https://wikileaks.org/ciav7p1/cms/page_16384604.html

2. https://github.com/wsxarcher/Chimay-Red

3. http://blog.netlab.360.com/7500-mikrotik-routers-are-forwarding-owners-traffic-to-the-attackers-how-is-yours/