技术剖析：海莲花OceanLotus Encryptor样本分析 -
| 关注黑客与极客
技术剖析：海莲花OceanLotus Encryptor样本分析
共361671人围观
，发现 37 个不明物体
上周，360发布了海莲花的报告，数据收集，分析，解释，加工方面很能让人折服，但是看了其对所谓OceanLotus Encryptor样本的分析，和我自己观查到的，我觉得有些地方描述的不正确，而且其对病毒攻击流程的分析语焉不详——一个APT攻击报告不能详细说明其攻击流程，其他数据分析的再好我觉得都是没有说服力。
很多地方看似是语法错误导致的，其实是其并没有完全分析清楚攻击流程所导致的，比如 :
另外关于64位强密匙绕过杀软，其实质就是OceanLotus Encryptor 在创建进程时候的用到的一个64bytes的随机数，并没有什么其他的作用。还有一点释放的同名doc不是木马本身释放的，而是由其子进程解密母体文件，然后覆盖母体文件的所产生的。
该病毒我首次注意到是今年4月初，时就觉得这个病毒非同一般，但是却没有深入的去分析，直到看到360的报告，我觉得写的很模糊，所以就详细分析了下。该样本所采用的技并不是说很复杂，但是各种技巧的组合还是很有杀伤力的，很好的绕过了杀软的检测，具有很强的隐蔽性，而且从代码逻辑与攻击流程来看，该病毒绝对不是脚本小子，freshman所能写的。关于是不是专门针对中国的APT攻击，直到我分析完该样本，我觉得这应该不是专门针对中国大陆的APT攻击，原因有两点:
1、在其释放的文件中，有一个%appdata%/tencent/qq.exe的文件。该文件文件信息伪造为国际版qq.exe 如下图，
2、在核心功能组建中，bundle.rdb会创建这样一个路径用于存放从服务器下载的其他攻击组件
如果是专门针对大陆的APT攻击，未免有点牵强。因为大陆很少会用到yahoo，而且qq政府工作人员也不会去用国际版，就算有那也很少。如果说是APT攻击人员的失误，那么这这两点将是致命性的错误，会造成攻击失败。
综上我觉得如果说非要说是APT攻击，那么该攻击要么是针对驻外大使馆，或者海外中国企业的职工。qq用于自己使用,yahoo 则应该用于与当地人民，工作交流使用，这样就能说的通了。
当然这只是我的推断，代表个人意见，如有不对勿喷。
2.1 攻击流程
该样本攻击流程分为三个阶段:第一阶段为释放，总共释放了两个文件%appata%tencent/qq.exe,%appdata/tencent/plugin/ Com.Tencnt.DirectShow/bundle.rdb。第二阶段注入代码到傀儡进程中让其加载核心功能组建bundle.rdb。第三阶段为核心功能组件，负责收集被感染系统信息，执行远程命令，并与服务器通信上传这些信息
过程解释：
1.恶意电子邮件附件中包含Oceanlotus
2.在%TEMP%中自拷贝自身
3.释放同名白doc文件，释放下一阶段执行体qq.exe与核心功能组建bundle.rdb文件
4.qq.exe运行之后注入代码到傀儡进程中
5.傀儡进程加载bundle.rdb
6.收集账号信息
7.上传被感染机器信息到服务器，获取服务器指令
3.1dropper技术细节
Dropper，即360命名的OceanLotus Encryptor运行之后，首先会在%temp%中自释放一个副本，然后创建一个自进程，该进程命令行为%temp%[random].tmp &–help[parentpath] [0-9a-f]{64} .
然后结束进程。子进程创建之后，先获取filepath路径，即母体的路径，然后读取母体id为65的资源数据，并解密，随后覆盖原文件，释放doc文档。之后会检测是否运行在虚拟机里，检测完之后便会解密数据释放qq.exe,与bundle.rdb，注册mspaint键值，建立计划任务，创建qq.exe进程，结束运行。&
3.1.1 判断运行参数，以判断自身是否为母体的子进程。这样是为了确保正确释放doc文件。
3.1.2然后接下来获取资源节数据并解密资源节id为65的资源，即为doc文件内容。
3.1.3.检测是否运行自虚拟机中，如果是则结束运行。
通过这段指令，就可以检测运行环境是否在vmware里,该反虚拟机技术为公开的vmware 与客户机之间会话用的一段指令序列。
反虚拟机的手段其实有很多，但是选择这种方式本人认为：一是相对检测注册表,进程名可靠性比较高,更加通用，二是这样子会更加的隐蔽，因为检测注册表，与进程名很容易被分析人员识别出来，而且代码量会大.
3.1.3接下来是对解密自身数据，为释放%appdata%/Tencent/qq.exe 与%appdata% Tencent /plugin/Com.Tencnt.DirectShow/bundle.rdb 做准备，值得注意的是解密数据不是整体存放的，而是分块解密，这样做是为了对抗杀毒软件， 扰乱分析人员的深入分析，其中解密算法相当复杂，下图为解密流程一部分：
3.1.4 解密之后设置注册表，伪装为mspaint的注册表信息，分别设置
HKCU/SOFTWARE/mspaint&值为bundle.rdb的路径。
HKLM/SOFTWARE/mspaint&值为qq.exe的路径。
3.1.5将qq.exe 加入计划任务
每过十五分钟启动一次%appdata%/Tencent/qq.exe
3.2 %appdata%/Tencent/qq.exe细节
3.2.1.该进程启动方式为计划任务创建的，运行之后首先把遍历是存在msiexec.exe
&%appdata%/Tencent/qq.exe 进程，如果存在则不运行。
3.2.2．查看注册表，查找注册表键值
HKCU\SOFTWARE\Microsoft\mspaint\&
HKLM\SOFTWARE\Microsoft\mspaint\
其中这两个键的键值为dropper创建的，并且其值分别为Bundle.rdb的路径与qq.exe的路径，如果查找成功则继续执行，不成功则结束进程。
3.2.3.遍历进程查看其用户是否为administator，如果是则遍历其模块，如果模块中存在bundle.rdb 则结束运行。
3.2.4遍历进程如果存在以下hash，则进行相应的操作
Hash算法的C代码如下：
其中CRCkey，存在于%appdata%/Tencent/qq.exe本身，位于文件偏移0×1016134处
3.2.5 判断进程参数看其参数是否为 “rundll32.exe /m”
如果是则依次判断是否存在文件syswow64/msiexec.exe，system32/msiexec.exe, Program Files\Internet Explorer\iexplore.exe, Program Files (x86)\Internet Explorer\ielowutil.exe如果存在以上四个文件之一，则创建进程，为后面注入做准备。(本报告以msiexec.exe为例)。
其伪代码如下:
3.2.6创建完msiexec.exe后,遍历进程列表中的进程的所有线程，找到进程id为msiexec.exe的进程，挂起该进程的所有线程。为载入msiexec.exe做准备。
3.2.7挂起所有线程之后，随后是注入代码到msiexec.exe.首先将bundle.rdb路径写入，如图所示
然后，获取LoadLibrayW,RtlGetLasterror,Sleep,ExitProcess地址后，注入shellcode其实现的功能是，载入bundle.rdb模块，其注入的代码如图:
当其注入完毕以后就恢复线程运行。这样qq.exe就完成了自己的任务。总结下qq.exe的最终目的主要是注入上面的代码到msiexec.exe 。但是该病毒相对平时见到的简单木马确实很不同寻常，相对来说过程复杂，功能全面，而且代码很稳健，而且这一步骤起着承前启后的作用。
3.3 Bundle.rdb分析
Bundle.rdb是一个动态库，为其核心功能组建，其相当于一个云配置客户端， 内部并没有多少恶意行为痕迹，只负责请求，接收，处理服务器端的信息(但是由于我拿到的样本ip失效，所以看不到与服务端的通信)并且收集被感染系统的信息，相对来说代码也比前两个阶段的代码复杂，解密过程极为复杂，有一些是为了对抗杀软特征查杀的技巧，但是也相对比较简单。
Bundle.rdb实现的功能有与C&C 通信，获取服务端指令或者下载其他组建，但是由于ip失效，所以看不到下一步的操作。
3.3.1& 随机获取
, 其中一个的的ip，然后与之建立连接，进行通信。
3.3.2 获取以下数据
注册表信息：
software\Microsoft\Windows&NT\CurrentVersion\ime
SOFTWARE\DESCRIPTION\System\CentralProcessor
Software\ATI&Technologies\Install\South&Bridge\ATI_AHCI_RAID
HARDWARE\DEVICEMAP\Scsi\Scsi&Port&2\Scsi&Bus&1\Target&Id&0\Logical&Unit&Id&0
还有硬盘信息，用户名信息等这里就不一一列举了。&
3.3.3 从服务器中下载其他组建到一下路径，,并伪装成白文件。
%appdata%\Yahoo!\Messenger\Martha\cacheinfo.db
%appdata%\Mozilla\statistics.db
总的来说，病毒作者是选择了很巧妙地方法，由于功能分散在不同文件中，阶段行的执行，其中%appdata%tencent/qq.exe因为填充垃圾数据，对抗了云查杀，巧妙地利用了正常程序的路径来存放自身，其留在被感染机器上的痕迹很小，这样的免杀效果很好，而不是单单加个壳，因为加壳恰恰会引起杀软与分析人员的注意。
*作者：比尔.盖茨，转载须注明来自FreeBuf黑客与极客（）
你就是在这里胡搅蛮缠，混淆概念而已. 上次你在另一篇文章里咄咄逼人的“教做人”。现在你为啥会不解了呢？ 我这次把你上次的评论贴出来，看看你多么的“恼羞成怒的&:观察员
@上周360发布了一篇关于名为&海莲花&的分析报告，当时觉得碉堡了。然后我就很好奇——&海莲花&和&蓝莲花&啥关系，许巍干的?1：请查一查莲花是什么花 在你的脑子里 一提到莲花就是蓝莲花。。。。 脑子锈逗，无知无畏吧。2：技术复用就可以定性一样么 ？那请问APT1报告里面提到了 nc、pwddump等工具你咋不说APT1报告是恶意黑客工具通报呢？（哦忘问了，你知道啥是APT不，要不要给你科普一下？）3：请问你google给的链接哪一个串是能对应上的？请吹牛乱喷之前先打打草稿再来？4：感染量大就不是APT么？请先回去好好看看desert falcons、Carbanak_APT、Equation这些APT报告中给出的感染量，然后再说话。 哎 不得不说现在年轻人的浮躁啊。。。。。 读懂人家360的报告再说吧 ..
必须您当前尚未登录。
必须（保密）
关注我们 分享每日精选文章“海莲花”木马入侵 苹果Mac电脑也中招
中华网财经
日前，360旗下天眼实验室曝光了一例境外黑客组织&海莲花&(OceanLotus)，据称该组织专门攻击中国政府的海事机构、科研院所和航运企业等领域，活动时间长达三年。值得关注的是，&海莲花&还专门出动了攻击苹果Mac电脑的木马，意图获取使用Mac办公的海事单位相关人士的重要资料。图：境外黑客组织&海莲花&攻击中国长达三年近年来黑客攻击事件不断，网友普遍认为Mac OS系统的封闭和权限控制等因素，总体来说被攻破的几率很小，因此可以放心地联网办公。&海莲花&的Mac木马则打破了人们的这个误区。根据天眼实验室发布的报告分析，&海莲花&Mac木马利用水坑攻击方式传播，也就是在攻击目标经常访问的网站上植入恶意代码，等待目标访问水坑网站时以提示下载Flash更新等方式下发木马，然后远程控制中招的苹果Mac电脑。分析显示，此Mac木马对自身做了非常强的加密，还会修改苹果浏览器的安全属性，使其下载的程序直接运行而没有危险提示，进而为所欲为。鉴于&海莲花&(OceanLotus)攻击周期超过三年、以政府机构和海洋领域相关单位为攻击目标，天眼实验室认为该组织绝非一般的民间黑客组织，其背后很可能有国外政府支持，属于国家级黑客攻击。天眼实验室表示，针对未知威胁和APT攻击的研究是建立在360公司多年积累的安全大数据和互联网安全技术方法的基础之上的，因此能即时捕获难以发现的安全威胁元素，并进行事件关联分析，从而发现&海莲花&这样有组织、有针对性的境外黑客攻击。在此前发布的《中国的军事战略》白皮书中，阐述了海洋、太空、网络空间和核等四个重大安全领域力量发展。在加强网络安全方面，需要建立多维度的安全防御体系。加快网络空间力量建设，提高网络空间态势感知、网络防御、支援国家网络空间斗争和参与国际合作的能力，遏控网络空间重大危机，保障国家网络与信息安全。
编辑：nf07 来源：“海莲花”病毒：谁在觊觎中国的海事机密_第一财经
“海莲花”病毒：谁在觊觎中国的海事机密
看看新闻Knews 21:36
记者 施聪 刘水 楚华
2014年3月，中国某海事机构一台办公电脑出现异常：运行缓慢，CPU内存占用率极高，原因不明。作为该单位安全服务供应商，360天眼实验室负责人汪列军第一时间参与调查。
中国海事机构突遭攻击，引发安全机构警觉
2014年3月，中国某海事机构一台办公电脑出现异常：运行缓慢，CPU内存占用率极高，原因不明。
作为该单位安全服务供应商，360天眼实验室负责人汪列军第一时间参与调查。
经过初步排查，汪列军发现，致使电脑异常的罪魁祸首决不是一个普通的病毒。该病毒不是以破坏系统为目的，而是通过一层层解密，把系统内文件打包外传，以窃取电脑中的机密文件。
汪列军和团队随即排摸整个系统网络，却发现了更恐怖的事情。
原来，他们发现了另外一套专门用于控制服务器的木马。
一旦服务器被控制，那么该服务器网络中的所有计算机，将变成傀儡，任人摆布。汪列军和团队立即采取了有效的监控防御措施。
然而，黑客丝毫没有收敛，索性撕去隐藏的外衣，肆无忌惮地发起定向的&鱼叉&和&水坑&攻击。
四套病毒代码轮番攻击，黑客组织资源强大
首先，黑客通过鱼叉攻击的方式对目标发起了定向攻击：&
黑客将木马程序伪装成一封与目标用户相关的电子邮件附件，比如工资报告单，诱使目标用户打开附件，从而控制电脑服务器。
接着，黑客又开启了一轮规模较大的水坑攻击：
黑客潜入目标机构的官方网站或目标用户经常访问的网站，替换正常文件。一旦用户访问该网站并下载此类文件，电脑服务器就会被植入特种木马。
汪列军还发现，在网络攻击的过程中，黑客至少使用了4套不同类型的病毒代码，相关服务器IP地址19个，恶意服务器遍布全球13个国家。
汪列军对看看新闻Knews记者表示：&从它资源的可得程度来看，这个黑客组织肯定是有国家支持的，专门对其他国家进行类似间谍活动的网络攻击组织。 &
2015年，天眼实验室发布APT（Advanced Persistent Threat）&&高级持续性威胁报告，将该黑客组织命名为&海莲花&。
&海莲花&攻击仍未停止，国防安全敲响警钟
报告显示，在国内，与该组织相关的木马最早被截获于2012年。
在早期，&海莲花&组织的网络攻击并不活跃。但是， 2014年底，&海莲花&开始运用云控技术进行网络攻击，采用包括文件伪装、随机加密和自我销毁等一系列复杂的攻击技术与安全软件进行对抗，其攻击的危险性、木马识别查杀的难度都大大增强。
截至2015年，&海莲花&的袭击遍布全世界范围内的36个国家。其中, 中国的感染者占到92.3%，遍布国内29个省级行政区，北京和天津是国内感染者最多的两个地区。
&海莲花&攻击范围大、时间长并且目的明确、目标精准。天眼实验室通过大量的数据分析，发现&海莲花&主要是对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域进行不间断攻击，以窃取国家机密情报。
对此，360集团董事长兼CEO周鸿祎表示，在互联网时代，网络安全关乎国家安全。
&过去，一个病毒背后可能只意味着恶作剧，而今天每一个网络攻击背后，都是可能一种国家力量支持的，或者是一个大型犯罪组织支持的高智商的黑客组织，他们竭尽全力地在想你有什么缺点，你有什么问题。&&
复旦大学战略与网络安全研究中心主任沈逸认为，从国家网络安全战略的角度来看，对于中国这样的大国，网络安全的防御越来越重要，防御是一种战略能力，而且是一种必须优先的战略能力。
由于我国及时防御，部署得当，才避免了大规模网络安全事件的发生。但&海莲花&的攻击，无疑是给国防安全敲响了警钟。
迄今为止，海莲花组织的黑客攻击还在继续。
（看看新闻Knews记者：施聪 刘水 楚华 编辑：曾小真）
编辑：刘红防护方案：加密木马攻击,海莲花？_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
防护方案：加密木马攻击,海莲花？
&&本报告从海莲花攻击事件中截获的典型木马样本入手,分析其攻击行为,对比木马及APT的特性,为用户思考下一步的应对方案,给出了转变思路的攻防模型,提出未来攻防战中胜负判断标准及发展方向,并推荐了应对此次攻击的解决方案及实施步骤。
阅读已结束，下载文档到电脑
想免费下载更多文档？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩41页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢404 页面不存在,3秒后跳转}