trojan.oceanlotus.ursua分析报告-pg电子试玩入口

2020-08-17 来源：安全资讯

样本信息样本名称： trojan.ursu.a。样本家族：海莲花样本类型：白利用。 md 5 ： 05e513c612b0384804db9bda5277087c。 sha1： fad949d96667a1dc0161d14132865b7b886b1137。文件类型： win32dll。文件大小：

样本信息

样本名称：trojan.ursu.a。
样本家族：海莲花
样本类型： 白利用。
md5： 05e513c612b0384804db9bda5277087c。
sha1： fad949d96667a1dc0161d14132865b7b886b1137。
文件类型：win32 dll。
文件大小：1436879 bytes。
传播途径：暂无。
专杀信息：暂无
影响系统：win7 x64，win8，win10。
样本来源：互联网
发现时间：2019.04
入库时间：2019.04
c2服务器：。

样本概况

2012年4月起至今，某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。该境外黑客组织被命名为“海莲花(oceanlotus)”。该组织主要通过鱼叉攻击和水坑攻击等方法，配合多种社会工程学手段进行渗透，向境内特定目标人群传播特种木马程序，秘密控制部分政府人员、外包商和行业专家的电脑系统，窃取系统中相关领域的机密资料。
近期江民全球样本态势系统捕获了到了最新的攻击诱饵文件。诱饵文件名为“2019 年第一季度工作方向附表.rar”，该诱饵在攻击过程中使用了两层白利用进行 dll劫持，第一层为 word 白利用，第二层为 360 安全浏览器白利用。最终投递的木马为 cobalt strike beacon 后门，具备进程注入、文件创建、服务创建、文件释放等功能，c2 通信使用 safebrowsing 可延展 c2 配置。

样本危害

伪装成word文档，点击后通过白利用加载有害的动态库，最终会下载指定的任意代码并执行，实现木马的投递。

手工清除方法

1). 删除文件
2019年第一季度工作方向附表.rar
wwlib.dll
2019年第一季度工作方向附表.exe
%temp%\2019 年第一季度工作方向附表.docx
c:\programdata\360semaintenance\chrome_elf.dll。
c:\programdata\360semaintenance\360se.exe。
2). 删除注册表
3). hkey_current_user\software\classes\.docx
hkey_current_user\software\classes\.doc

漏洞补丁信息

无

应对措施及建议

1). 不要轻信发件人地址中显示的“显示名”。因为显示名实际上是可以随便设置的，要注意阅读发件邮箱全称。
2). 不要轻易点开陌生邮件中的链接。正文中如果有链接地址，切忌直接打开，大量的钓鱼邮件使用短链接（例如http://t.cn/zwu7f71）或带链接的文字来迷惑用户。如果接到的邮件是邮箱升级、邮箱停用等办公信息通知类邮件，在点开链接时，还应认真比对链接中的网址是否为单位网址，如果不是，则可能为钓鱼邮件。
3). 不要放松对“熟人”邮件的警惕。攻击者常常会利用攻陷的组织内成员邮箱发送钓鱼邮件，如果收到了来自信任的朋友或者同事的邮件，你对邮件内容表示怀疑，可直接拨打电话向其核实。
4). 管理用户账号权限，遵从系统和应用账户权限最小化原则，限制授权用户对管理员级别权限的访问。
5). 加强系统和软件的及时升级，打全补丁。
6). 修改uac的默认设置，将其修改为“始终通知并等待我的响应”。除此之外，在授权某项操作时，还应该要求用户输入密码。

行为概述

文件行为

1). 创建文件c:\programdata\360semaintenance\chrome_elf.dll。
2). 创建文件c:\programdata\360semaintenance\360se.exe。
3). 创建文件%temp%\2019 年第一季度工作方向附表.docx。
4). 删除文件wwlib.dll

进程行为

1). 创建进程c:\program files\microsoft office\root\office16\winword.exe。
2). 创建进程c:\programdata\360semaintenance\360se.exe

注册表行为

1). 修改注册表项
hkey_current_user\software\classes\ocsmeet_auto_file\shell\edit\command= "c:\program files\microsoft office\root\office16\lync.exe" "%1"。
2). 修改注册表项
hkey_current_user\software\microsoft\windows\currentversion\explorer\fileexts\.ocsmeet\userchoice\progid=ocsmeet_auto_file。
3). 修改注册表项
hkey_current_user\software\classes\word.19\shell\open\command= c:\programdata\360semaintenance\360se.exe /n "%1" /o "%u"
4). 创建注册表项
hkey_current_user, l"software\\classes\\.docx
hkey_current_user, l"software\\classes\\.doc

网络行为

1) 试图从https://officewps.net/ultra.jpg下载数据。

详细分析报告

1). 诱饵文件“2019 年第一季度工作方向附表.rar”为一压缩文件，解压得到“2019 年第一季度工作方向附表.exe” 和“wwlib.dll”，其中“2019 年第一季度工作方向附表.exe”是word 2007 可执行程序，该文件是一个白文件，有微软的签名。“wwlib.dll”文件是点击“2019 年第一季度工作方向附表.exe”文件后会加载的黑文件。

图1.1 诱饵文件2019 年第一季度工作方向附表.rar

图1.2 2019 年第一季度工作方向附表.exe的签名

2). “wwlib.dll”文件信息。文件类型：pe32 dll，文件大小：1436879 bytes，时间戳： 0x5c60e815(mon feb 11 11:12:21 2019)，md5：05e513c612b0384804db9bda5277087c，sha-1：fb46ed36c2f2dfd6ecfa898cd6cb176c4950df4f，sha-256：236623cd3be93a832ae86bb7bfbf66e6d5e00abbc6ebc6555c09988412448391。该文件被设置为隐藏文件。

3). 在系统盘符下的”\programdata\360semaintenance\”目录下释放2个文件，”chrome_elf.dll”和“360se.exe”。”360se.exe”是白文件，md5：a16702ed1812ddc42153ef070f3dfdd6，sha-1：d1d59d7b71d30af0ca65a52516663f5ff787cb74。

图3.1 释放”chrome_elf.dll”和“360se.exe”文件

图3.2 ”chrome_elf.dll”和“360se.exe”文件

图3.3 360se.exe的签名

4). 接着”wwlib.dll”根据 exe 程序名构造“2019 年第一季度工作方向附表.docx”字符串，然后在%temp%目录写入带密码的 docx 文档，伪装自己是一个正常的文档。

图4.1 释放docx文件

图4.2 docx文件有密码

5). 如果首次运行，则会在注册表目录 “software\\classes\\”创建“.doc”和“.docx”项，然后调用 word程序打开释放到 temp 目录的.docx 文件。"c:\program files\microsoft office\root\office16\winword.exe" /n "c:\users\jiangmin\appdata\local\temp\2019年第一季度工作方向附表.docx" /o "%u"

图5.1 判断是否第一次运行

图5.2 运行

6). 查询注册表”software\\classes\\”存在“.doc”和“.docx”，如果存在说明不是第一次运行，则执行“360se.exe”文件，并附加temp 目录释放的 docx 文件路径为参数。

图6 执行360se.exe

7). 360se.exe会加载前面释放的chrome_elf.dll文件，chrome_elf.dll动态库的dllmain()中打开参数中的docx 文件，读取数据，调用cryptapi系列函数解密字符串，得到一个url：“https://officewps.net/ultra.jpg” 。然后删除前面的wwlib.dll文件。

图7.1 解密字符串

图7.2 删除文件wwlib.dll

8). 然后打开参数中的docx文档，检查是否存在software\\classes\\.docx和software\\classes\\.doc，如果没有则创建。

图8.1 打开docx文档

图8.2 检查注册表software\\classes\\.docx

图8.3 检查注册表software\\classes\\.doc

9). 然后360se.exe调用的chrome_elf.dll导出函数signalinitializecrashreporting()，遍历进程，如果没有名为的360se.exe进程则不执行后面的行为。

图9 遍历查找进程

10). 从前面解密的url”https://officewps.net/ultra.jpg”下载数据，然后申请新的内存空间将数据拷贝过去，最后执行下载的playload。由于该url已经失效，无法分析playload的后续行为。

图10.1 下载数据

图10.2 申请内存拷贝代码并执行

样本溯源分析

url：
域名指向ip：
14.128.9.26泰国2019-01-21
162.255.119.119美国2018-12-25
注册者：whoisguard protected
注册机构：whoisguard, inc.
邮箱：df5d01cc791a44a780b569ada86d00a8.protect@whoisguard.com
地址
电话： 507.8365503
注册时间：2018-12-13 07:13:28
过期时间：2019-12-13 07:13:28
更新时间：2018-12-13 07:13:28
域名服务商：namecheap inc
域名服务器：dns1.registrar-servers.com; dns2.registrar-servers.com