“海莲花”组织攻击来袭 c7c7娱乐平台IPS准确阻击

宣布时间 2018-07-19

海莲花(OceanLotus、APT32)是一个主要针对我国提倡APT攻击的黑客组织。。。。。自2014年提倡高强度攻击以来,,,该组织的攻击活动泛起愈演愈烈的趋势,,,其一直更新的攻击手法及变种木马就是最好的证实。。。。。c7c7娱乐平台金睛团队上月初宣布过海莲花组织一种新型攻击的事务剖析,,,最近,,,c7c7娱乐平台IPS产品及清静团队又为客户立了一功,,,乐成发明并阻止了已保存数天的莲花组织的变种攻击。。。。。

 

该客户新安排了天清入侵防御系统(简称天清NGIPS),,,在上线后的例行巡检时,,,客户治理员就发明了大宗攻击报警,,,如图:
 

c7c7娱乐平台(中国游)登录官网入口

 
报警的事务名称为“DNS_后门_Win32.Denis_毗连”,,,源IP是客户内网的一台主要效劳器,,,其频仍向一个境外IP发送异常DNS请求。。。。。凭证IPS报警事务形貌,,,Denis是一个功效强盛的后门,,,通过DNS协议与其C&C控制端通讯,,,也是海莲花组织的专用后门程序之一。。。。。 虽然该攻击已被IPS实时阻断,,,但频仍的攻击报警批注,,,爆发事务的效劳器应该已被植入了Denis木马。。。。。该问题引起了客户的高度关注,,,随即联系c7c7娱乐平台政府大客户清静效劳团队举行现场支持。。。。。

 

清静团队抵达现场后,,,凭证IPS的报警信息举行了异常效劳器主机的排查事情,,,通过对主机流量、历程、内存等深入剖析,,,确认该效劳器确实被植入了Denis木马,,,并发明该效劳器上的恶意js剧本已经被删除,,,通过系统时间戳判断,,,该木马已被植入数日,,,直到最近被新上线的c7c7娱乐平台IPS发明。。。。。以下是详细的剖析历程。。。。。
 

剖析历程
 
一、在异常效劳器上使用流量监控工具,,,发明了svchost程序频仍向外发送DNS请求。。。。。


 

c7c7娱乐平台(中国游)登录官网入口


 

而此特征与海莲花Denis变种的特征险些一致。。。。。该家族以往的数据加密方法如下:首先对受害者机械名举行unicode编码,,,再使用字符替换的要领天生新的字符串[详细为0---->g,1---->h,2---->i,3---->j,4---->k, 5---->l,6---->m,7---->n,8---->o,9---->p],,,随后与其他牢靠字符串及C&C域名举行拼接,,,最终天生类似的DNS请求。。。。。

 

经由同样的方法解密,,,发明解密的数据确实为该熏染主机的主机名,,,因此可以确认这是海莲花新变种的一次乐成攻击。。。。。

而凭证以往履历,,,此次发包行为很有可能仅为了获取后续真实的发包地点。。。。。
 
二、除发明svchost历程在举行异常操作外,,,wscript.exe也在一连运行,,,通过审查该程序所挪用的下令行,,,发明其执行过一个名为Nodejs.js的剧本,,,而该js文件已被删除。。。。。
 

c7c7娱乐平台(中国游)登录官网入口


比照此前与海莲花相关的报告,,,其通常攻击手法是使用wscript.exe挪用一个vbs剧本,,,可以看出本次攻击已对战略做了转变。。。。。
 
三、由于相关恶意剧本已被删除,,,排查时仅在内存中运行,,,因此通过对目今内存举行剖析,,,发明在内存中运行着一个异常dll文件。。。。。
 

c7c7娱乐平台(中国游)登录官网入口

 
从文件名来看,,,该样本与ESET所宣布的海莲花后门名一致。。。。。因此可以明确,,,攻击者首先通过某些手段令wscript运行Nodejs.js,,,使之执行shellcode后,,,将该dll文件释放到内存并运行。。。。。


 

c7c7娱乐平台(中国游)登录官网入口

 
四、通过对wscript.exe举行流量监控,,,发明其一直在使用http协议一连毗连一个IP地点,,,并试图毗连图示域名。。。。。
 

c7c7娱乐平台(中国游)登录官网入口


显然,,,此行为现实为{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll所举行的操作,,,其使用的是统一种加密方法。。。。。同时也可以确认,,,该域名才是此次海莲花攻击历程中的真实C&C效劳器,,,用于举行后续的下令控制。。。。。

 

最后,,,由于该系统上并没有装有邮件系统,,,因此可以确定此次攻击的手法并非鱼叉攻击,,,凭证用户网络情形推测,,,很可能是在效劳器上点击了挂马网站而被入侵。。。。。

 

此次攻击在IPS及VenusEye威胁情报中心均已有明确标识,,,如下:

 

●  IPS告警事务

 

c7c7娱乐平台(中国游)登录官网入口


● 通过VenusEye威胁情报中心可以查到与此次行动相关的IOC信息,,,可以看到该IOC已经被情报中心标识为APT32(海莲花)

 

c7c7娱乐平台(中国游)登录官网入口

 

c7c7娱乐平台(中国游)登录官网入口

 


建议

海莲花组织的攻击手法重大多变且隐藏性高,,,我们建议客户在一样平常清静治理中不但要实时关注海莲花组织相关的攻击事务,,,并且要接纳组合机制来发明和防御海莲花的威胁。。。。。详细建议如下:

 

●  实时更新IPS、IDS、WAF等攻击防护装备的特征库,,,重点关注海莲花组织相关的已知攻击事务,,,凭证报警事务举行排查。。。。。

 

● 安排未知攻击检测步伐,,,如APT检测产品,,,以便对海莲花组织举行的新型鱼叉攻击、水坑攻击举行检测,,,此后通过与IPS的联念头制,,,阻断攻击。。。。。


c7c7娱乐平台IPS产品由专业攻防手艺研究及研发团队自主开发,,,在新威胁的跟踪,,,准确防御以及高级威胁的防御能力方面,,,处于业界领先水平,,,获得普遍的用户认可。。。。。据CCID最新统计数据,,,c7c7娱乐平台已一连16年排名海内IDS/IPS市场第一,,,且已一连2年入围Gartner IDPS魔力象限。。。。。

 

金睛清静研究团队是c7c7娱乐平台集团检测产品本部专业从事威胁剖析的团队。。。。。主要职责是对现有产品搜集上报的清静事务、样本数据举行挖掘、剖析,,,并向用户提供专业剖析报告,,,自建设以来先后宣布了《海德薇 Hedwig 组织剖析报告》、《绕过 UAC 的恶意样天职析报告》等数十份专业清静剖析报告。。。。。