一、背景
“海莲花”给加载起来。最后调用taskkill.exe,收场mshta.exe过程:文章源自微观生活(93wg.com)微观生活-https://93wg.com/17547.html
然而奇怪的是,因为解密算法的问题,致使终究的解密失败,因而执行该lnk,用户实际其实不会中招:文章源自微观生活(93wg.com)微观生活-https://93wg.com/17547.html
从而咱们猜测该方式可能还处于测试阶段,或者文章源自微观生活(93wg.com)微观生活-https://93wg.com/17547.html
2) 带有宏的doc文档文章源自微观生活(93wg.com)微观生活-https://93wg.com/17547.html
带有宏的文档的送达,是该组织比较经常使用的歹意钓饵,如:文章源自微观生活(93wg.com)微观生活-https://93wg.com/17547.html
另外,Twitter上也有很多安全同仁暴光过该组织的该方式的钓饵:文章源自微观生活(93wg.com)微观生活-https://93wg.com/17547.html
另外疑似文章源自微观生活(93wg.com)微观生活-https://93wg.com/17547.html
固然,咱们更相信该用户可能只是安全钻研员之间的一个玩笑。文章源自微观生活(93wg.com)微观生活-https://93wg.com/17547.html
执行宏后,首先会复制原始文档到%temp%下,命名为随机名文件:文章源自微观生活(93wg.com)微观生活-https://93wg.com/17547.html
然后解密出一个新的VBA宏:文章源自微观生活(93wg.com)微观生活-https://93wg.com/17547.html
接着设置注册表
”HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\12.0\\Word\\Security\\AccessVBOM”的值为1:
最后打开以前复制的doc文件,并将原始VBA宏擦除了,将解密后的新的VBA宏添加进去,并启动VBA宏函数 x_N0th1ngH3r3:
x_N0th1ngH3r3函数一样是解密出一段新VBA宏,一样调用新VBA宏的x_N0th1ngH3r3函数:
解密出来的新VBA宏目的是将shellcode解密并加载执行:
Shellcode解密出一个DLL文件,并在内存中加载,执行DllEntry函数:
DllEntry函数先会提取资源文件,并解密出来:
解密出来的内容包含终究rat以及相关配置信息:
随后会将解密的rat在内存中开展,并且查找CreateInstance函数地址,然后将配置信息传入调用该函数:
配置的4个C&C使用https进行通讯连接:
cloud.360cn.infodns.chinanews.networkaliexpresscn.netchinaport.org
其他的技术细节同文章同以前御见发布的海莲花的分析文章 带有WinRAR ACE。除了了武器库的不断更新,该组织也至关熟识中国的情况,包含政策、使用习惯等等,这也使得迷惑相关人员,是的袭击胜利增添了胜利率。
除了此,该组织的袭击规模也在不断的扩展,除了了政府部门、海事机构、商务厅、能源单位等外,钻研机构所遭遇的袭击也在不断的增多,而对个人的袭击,如教授、律师的钓鱼袭击也在不断的进行。
因而咱们提示有关部门及有关机构的工作人员,切实提高国家安全意识,提高网络安全意识,不要被网络钓鱼信息所蒙蔽,以避免给国家安全造成重大损失。
五、安全建议
1、 不要打开不明
2、 及时打系统补钉以及重要软件的补钉;
3、谨慎处理Office文档,除了非确认文档
*
以上就是微观生活(93wg.com)关于“海莲花APT组织2019年第一季度针对中国的袭击活动技术揭秘”的详细内容,希望对大家有所帮助!
评论