Part1 媒介 【TCD-104】100%まるごと月野姫史上最強ベスト! 究極の玉竿付き時代の極上ニューハーフ月野姫攻めまくりイキまくりファック快感大量白濁射精!
注:对于本篇著作,ABC_123参考了普遍由微步胁迫谍报中心、360安全公司、奇安信安全公司、腾讯御见胁迫谍报中心、安天公司、看雪论坛等公开发布的多样著作及分析诠释,在此谢过。从2020年运行,海莲花运行徐徐减少常用的鱼叉式垂纶入侵,转向轻佻挖掘、水坑攻击致使是攻击上游供应链,这亦然为什么这两年出现时公众视线的海莲项目本大幅度减少的原因。
海莲花APT组织常用的攻击技能等于“鱼叉攻击”及“水坑攻击”,本篇著作平定先容一下海莲花的鱼叉攻击的垂纶邮件手法,使人人对于海莲花APT组织有一个直不雅的融会,对日常红队职责也有匡助,也加深广众对于邮件垂纶攻击的阻挠意志。
Part2 海莲花邮件垂纶手法概括 邮件垂纶技战术手法走漏图领先贴出一张由ABC_123制作的海莲花APT组织的邮件垂纶技战术手法走漏图:
极品熟女图片
海莲花垂纶邮件特色 1 紧执高度热门话题 通过纪念以往的海莲项目分内析诠释发现,该组织会紧执社会高度热门话题,邮件内容涵盖“职责呈文诠释”、“干部培训”、“疫情实时情况”、“个税修订”、“薪资调度”等等。在多年前,*疆也曾发生过*怖要紧事件,海莲花组织在7天后,就发送了一批主题为“*疆*恐事件最新通报”的垂纶邮件,一样部分东谈主群“中招”。 2 垂纶攻击时代点选拔海莲花APT组织对于中国的垂纶邮件攻击,时代主要选拔在周一或者周五,因为这两个时代段东谈主们与外界探讨较多,垂纶邮件相比容易中招。 3 邮箱账号定名轨则“海莲花”APT组织送达垂纶邮件时,邮箱的账号定名样式为:名字拼音+数字@163(126).com,如:yang**@126.com、chen**@126.com、zhao**@163.com、reny**@163.com等,很昭着参考了中国东谈主的风气。 4 海莲花垂纶邮件主题这里ABC_123列举几封“海莲花”也曾使用过的邮件主题,先让人人有一个直不雅的融会,后续遭遇这类邮件,一定要严慎点开!举例:《工资轨制以及极度津贴》、《工资待遇策略的奉告》、《冠状病毒实时更新》、《公事职工资收入修订决策》、《定-对于报送 2019 年度经商事迹探员打算漠视材料的诠释》、《组织部干部四处最新奉告更新》、《对于 2019 下半年增多工资实施决策的呈文(待审)》、《2019 年职责诠释提纲 2(第四稿)》、《2019 年 5 月标准干部培训课程奉告》、《湖南省家禽H5N1亚型高致病性禽流感疫情情况》、《中国正在追踪来自湖北的旅行者》、《36东盟峰会26-06-2020会议》等等。
海莲花垂纶邮件截图以下截图是从微步胁迫谍报、腾讯御见安全中心的分析诠释中摘出来的相比有代表性的“海莲花”APT组织发送的垂纶邮件。
图片
图片
图片
图片
图片
Part3 海莲花垂纶邮件纪念 一、邮件附件木马伪装技巧 1 伪装成正常应用法式稽察以下海莲花APT组织的木马样本,为了招引受害者,将图标更换为常用软件的图标,一朝用户双击点开邮件附件,软件仍然会正常运行,后台却在暗暗地推论坏心代码,导致电脑被控。
图片
2 伪装成正常文档文献接下来看以下样本,海莲花APT组织把垂纶邮件附件伪装成多样文档,把图标更换为word、excel、pdf或者wps文,诈欺用户双击运行。
图片
3 构造极度的文献名海莲花APT组织有时候会在文献名背面加超漫空格,而.exe文献后缀就弗宗旨,受害者看起来合计是普通文档文献,或者是定名为readme.pdf.exe后缀,Windows系统默许常见扩张名不流露,会导致用户看到的是readme.pdf后缀。如下图所示:
图片
4 开释子虚文档海莲花APT组织在邮件垂纶时,十分可爱开释一个子虚的无施行内容的文档,形成用户点开之后稀里糊涂,后台就不错悄无声气地推论坏心代码。以下列举几个常用手法:
1、开释一个磨蹭word文档:
图片
2、开释一个带密码的文档:
图片
3、弹出windows装假信息:
图片
经过谷歌翻译,发现正在诈欺用户启用宏代码。
图片
4、开释一个装假文档:
图片
5 图片隐写本领遮掩后门这是国际安全团队捕捉到的海莲项目本,讹诈图片隐写本领将木马shellcode中枢代码遮掩在怪盗基德卡通图片中,海莲花坏心法式会下载此PNG图片,从图片中索取shellcode后门并运行,导致电脑被控。
图片
二、讹诈Office轻佻生成坏心文档 1 CVE-2017-0199 RTF轻佻海莲花组织也曾送达使用这个轻佻制作的RTF文档,一朝受害者运行,该坏心文档会下载VBScript HTA文献,进一步推论powershell剧本导致电脑被控。
2 CVE-2017-8570代码推论轻佻这是海莲花在2018年3月份的一个样本,附件readme.doc其实是一个讹诈Office CVE-2017-8570轻佻制作的RTF文档,扩张名被改为.doc形态,一朝受害者点开,就会导致坏心代码被运行。
图片
3 CVE-2017-8759文档轻佻此分析截图来自于奇安信胁迫谍报中心,这是一封海莲花APT组织发送的以职工薪酬为主题的垂纶邮件,名为“请查收8月和9月的工资单.doc”,通过Office的CVE-2017-8759轻佻制作,点开后是一篇磨蹭不清的word文档,在左上角有一个知道的空缺框框,一朝受害者点击这个小方框(部分情况下不需重心击,翻开doc文献即可),就会从良友加载坏心木马文献,导致电脑被控。
图片
4 CVE-2017-11882公式裁剪器轻佻此分析截图凭证微步胁迫谍报的截图进行修改,CVE-2017-11882是存在于Office公式裁剪器中的一个内存攻击轻佻,如下海莲项目本,文档内容被磨蹭化。一朝受害者运行该word文献,会开释一个包含Symantec签名的白文献exe法式,通过“白加黑”加载坏心法式rastls.dll。
图片
接下来看来自于奇安信胁迫谍报中心的一个访佛的样本,一朝用户点开此文档就会推论坏心代码,然后加载以图片面孔存放在良友处事器上的powershell剧本,进一步下载开释McAfee及dll文献,讹诈McAfee白加黑加载坏心dll文献导致电脑被控。
图片
5 Office模板注入轻佻Word 模板注入是讹诈Word文档加载附加模板时的劣势,加载的模板是带宏的坏心模板,从而盘曲推论宏代码,该轻佻与宏病毒访佛,但讹诈的是Office的模板功能而非宏,因此不受宏开采和防护机制的影响。
以下海莲花APT样本将加密数据存于母体DOCX文献中,通过良友模板中的宏代码解密推论,会去加载一个含有坏心剧本的png文献。
图片
将此word文档以压缩包形态解压,稽察其中的settings.xml.rels,不错发现遮掩在其中的坏心联接地址。
图片
三、Office宏文档+拐骗点击 1 伪装成360杀软的检测文档接下来看腾讯御见胁迫谍报中心给出的样本截图,“2019年1月寄托会材料.doc”这个样本并未使用office轻佻,讹诈的宏处理功能,通过文档内容磨蹭化处理去拐骗受害者点击运违章意宏代码,最终解密出shellcode,添加注册表、注入winword.exe程度无文献落地导致电脑被控。
图片
图片
2 使用磨蹭文档拐骗点击以下截图源于腾讯御见胁迫谍报中心。此样本是一个伪装成word文档的exe文献,文献属性刻画里添加了“Microsoft DOCX”。一朝受害者点击此exe文献,会开释一个内容磨蹭不清的word文档并翻开,拐骗受害者启用宏代码,施行上启用宏之后,仍然看不了了文档的内容。坏心样本会开释坏心文献dll文献,然后使用rundll32号令加载推论。
图片
图片
3 Web存档文献探伤打算出口IP翻开具有此功能的文档时,即便禁用了宏,Microsoft Word也会尝试下载外部图像,海莲花APT组织会监控Web日记以追踪用于苦求良友图片的人人IP地址,不错密切慈祥垂纶邮件的传播及得胜率,并对受害组织进行下一步的分析。
4 mht形态的Web存档文献传统的坏心宏word文档容易被检测到,后续海莲花运行平方使用ActvieMime形态文档。随机是将包含坏心宏代码的Office文档,转成成”.mht”形态,然后再将扩张名改为.doc形态,附加到电子邮件中投放给打算。
这是一个来自于奇安信胁迫谍报中心的2022年的样本截图,翻开后会指示受害者启用宏,一个文档可能有35–65 MB大小,文档中遮掩着用心制作的顺应于不同系统的坏心dll文献。
图片
一朝受害者启用了宏, 则该坏心文献会翻开一个word文档,而该文档施行并无具体内容,仅有一段装假信息:
图片
接着VBA宏代码陆续运行,从文档中索取并开释坏心dll文献,添加谋划任求完了历久化,将shellcode注入到傀儡程度推论。
四、压缩包的目次穿越轻佻 1 解压缩轻佻+开释磨蹭文档在2019岁首,WinRAR压缩软件爆出CVE-2018-20250轻佻,该轻佻影响:
1、WinRAR<5.70 Beta1
2、Bandizip<=6.2.0.0
3、好压(2345压缩)<=5.9.8.10907
4、360压缩<=4.0.0.1170
随后海莲花APT组织挑升依据此轻佻构造极度的压缩包文献,使正常用户在不知情的情况下,将坏心法式解压至系统的启动目次或者开释坏心dll文献,劫持其它软件推论,形成用户电脑被控。
接下来看一个海莲花讹诈压缩包目次穿越轻佻制作的样本(来自于腾讯御见胁迫谍报中心):
图片
该压缩包解压后,会出现翻开一个经过磨蹭化处理的word文档。
图片
随后在启动目次开释一个自解压文献:
图片
该文献为一个自解压法式,比及用户重启电脑后,会开释一个.ocx 文献,然后推论号令 regsvr32 /s /i .ocx 推论:
图片
2 解压缩轻佻+招引图片海莲花APT组织除了在压缩包中投放招引word文档以外,还会甩掉一些招引图片:
图片
以下招引图片我就打马赛克了。
图片
受害者还在浏览图片的时候,该样本依然在系统启动目次下甩掉了一个自解压文献,一朝用户重启电脑,坏心代码将会推论。
图片
五、自解压法式+正常文档+坏心代码 1 自解压+pdf文档+ocx控件接下来看freebuf的著作中给出的一个样分内析,这是一个自解压文献,名为“李建香 (个东谈主简历).exe”,图标被换成了pdf文档的图标。一朝受害者点开运行之后,领先开释并翻开一个正常的pdf文献,可是却指示输入密码,然后推论“regsvr32”号令注册运违章意ocx控件,在内存中解密和调用最终的后门法式。
图片
2 自解压+Word文档+ocx控件接下来看来自于微步胁迫谍报中心分析的另一个海莲项目本,exe形态的自解压文献中,含有一个.docx的正常文档和一个坏心的.ocx的控件。一朝用户双击运行此自解压法式,后台融会过regsvr32法式注册.ocx控件,第二次推论regsvr32号令时,会转换推论经由解密shellcode推论坏心代码导致电脑被控,同期会翻开正常.docx文档,诈欺用户合计这是一个正常文档文献。
图片
3 自解压+图片文献+ocx控件以下这个样本与上述大同小异,所不同的是用宗教图片替换了原有的word文档,针对特定用户进行鱼叉攻击。
图片
4 自解压+Word文档+bin文献接下来看一个来自于微步胁迫谍报的较新的海莲项目本,自解压文献中有一个.docx文档,与之前不同的是还有一个.pkg文献和.bin文献。一朝受害者点击次自解压文献,法式会翻开正常的docx形态的word文档,指示“error!!!”文档出错,受害者被招引时代,法式会在后台通过regsvr32号令加载.pkg文献,然后.pkg会加载.bin,解密其中的坏心代码并加载推论,导致电脑被控。
图片
图中New Microsoft Word Document.docx文档内容如下:
图片
六、快捷方式lnk文献结合.hta文献 1 快捷方式文献探伤打算IP地址.hta文献是一种基于HTML和VBScript的应用法式。.lnk文献的图标会从集结取得,唯有翻开lnk处所的目次,explorer理解lnk文献会去理解文献的图标,要是此图标存放在集结上,那么会去自动加载取得图标文献,从而涌现受害者自身的ip地址。
2 快捷方式.lnk调用mstha推论以下截图开首于腾讯御见胁迫谍报中心:海莲花在一段时代内,每个垂纶压缩包样本中,齐会甩掉一个坏心的lnk文献,如下图所示:
图片
右键点击稽察属性,发现其会调用mshta.exe号令,去http://www.xxx.com/feed/news.html加载坏心的vbs代码。
图片
一朝受害者点击此快捷文献,news.html的坏心代码就会推论,在Temp目次下开释一个.tmp文献,施行上是一个dll形态的文献,然后调用系统自带的odbcconf.exe法式加载此dll文献,解密推论shellcode导致电脑被控。
3 快捷方式.hta坏心文献传播接下来看一个海莲花APT组织的较新样本,邮件主题是“环境议题尊府”,在邮件压缩包中甩掉了一些图片和一个.hta网页文献,受害者为了看更多的内容,点开.hta形态的网页文献,这个样本中的hta文献与上述不同,平直受场了加载shellcode完了无文献落地,导致受害者电脑被控。
图片
4 快捷方式.lnk文献伪装成word文档接下来看另外一个海莲项目本,这个样本的图标被更换成了word文档的图标,快捷方式中的号令进行了一部分的加密沾污,证据海莲花组织一直在思多样方法绕过杀软的防护。
图片
七、自解压文献+dll白加黑 1 dll白加黑素养使用 dll 侧加载(DLL Side-Loading)本领来推论载荷,是海莲花构建坏心样本的中枢攻击本领。等于咱们常说的白加黑推论,白文献指的是国内的,带有正常数字签名的常见的应用软件法式,黑文献指的是攻击者镶嵌坏心代码的同名的dll文献。早期的海莲项目本,一般劫持Windows系统dll,如搜索功能关联的msfte.dll文献,较新版块的海莲项目本,一般齐是劫持领有正当签名的法式所加载的dll文献。
2 Word主法式+wwlib.dll白加黑以下截图开首于腾讯御见胁迫谍报中心,这种手法的平允是,讹诈word装配包自己的法式winword.exe进行白加黑,自带word图标,更容易招引敌手。
图片
图片
3 自解压文献+qq法式的dll白加黑本篇著作参考“雷神众测”的Prowes5作家的著作。该文献为一个自解压文献,图标替换成了word文档图标,用来招引受害者进行点击。Word可推论文献自带Word文档图标,可同期伪装成文档文献进行垂纶攻击。
图片
一朝受害者点击之后,该法式领先会开释并翻开一个不知谈密码的word文档,招引用户。
图片
当用户还在到处寻找文档密码时,该法式会暗暗地在Roaming文献夹中开释qq.exe和Plugin文献夹,伪装成qq法式的形态,将坏心的dll文献存放到plugin文献夹中。
图片
同期新增定时任务,定时任务的称呼为QQIntlUdt和QQIntlUdt_用户名,用作触发木马推论和权限保管。
图片
4 MicrosoftUpdate升级法式dll白加黑接下来看一个较新的海莲花APT组织样本,同样使用了白+黑的加载方式,样本伪装成DOC文档图标,EXE后缀的自解压法式,如下所示:
图片
运行样本之后,开释白+黑法式,并启动白法式,然后讹诈升级法式MicrosoftUpdate.exe,加载坏心法式SoftwareUpdateFilesLocalized.dll,读取SoftwareUpdateFiles.locale文献并解密,同期开释一个doc文献并翻开,招引受害者。
5 360的软件贬责器白加黑一朝SoftManager.exe被运行,坏心dbghelp.dll文献会跟着运行,导致电脑被控。
图片
6 谷歌浏览器升级法式白加黑接下来看另一个海莲项目本,使用了Google的升级法式Google_Install.exe白加黑的加载方式加载坏心法式goopdate.dll文献:
图片
运行Google_Install.exe,会加载goopdate.dll:
图片
7 联思驱动法式白加黑APT样本包含lenovodrvtray.exe和DgBase.dll两个文献,其中lenovodrvtray.exe是带有正规数字签名的联思驱动自动装配软件,在启动时会加载坏心文献DgBase.dll。
图片
8 adobe字体补丁与Symantec白加黑如下样本adobe-font-pack.exe是一个伪装成adobe字体补丁文献的坏心样本,该法式会领先运行字体补丁招引用户,同期会开释3个文献rastlsc.exe、rastls.dll和OUTLFLTR.DAT。其中rastlsc.exe文献领有Symantec公司的签名,是典型的“白讹诈”本领,一朝该法式运行,rastls.dll坏心文献也会跟着运行,导致电脑被控。
图片
9 Word法式白加黑+360se多重白加黑领先看微步胁迫谍报中心的诠释分析中的样本文献,钓饵“2019 年第一季度职责标的附表.rar”为一个压缩文献,其中“2019 年第一季度职责标的附表.EXE”为包含灵验数字签名的 Word 2007 可推论法式, 一朝此法式被运行,那么被开采为系统遮掩的坏心的wwlib.dll也会被推论。
图片
以下截图开首于微步胁迫谍报中心:
图片
如下图所示,该“2019 年第一季度职责标的附表.EXE”文献含有正常的微软正当签名。
图片
wwlib.dll文献通过白讹诈被加载后,会在Temp目次下开释一个带密码的word文档蒙骗受害者,误合计这是一个正常的word文献。
图片
当受害者还稀里糊涂时,wwlib.dll文献会陆续开释360se.exe、chrome_elf.dll文献,然后360se.exe亦然一个带有正常数字签名的文献,一朝被运行,坏心文献chrome_elf.dll也会被运行。
图片
chrome_elf.dll文献会良友下载一个direct.jpg图片文献,该图片文献施行是一段不错在内存中推论的坏心代码,进一步解密出cs木马的shellcode并加载运行,从而导致电脑被控。而在最新的攻击活动中,海莲花组织进行了修正,要是良友下载shellcode不得胜,那么会解密并加载事前设定好的后门法式,以此晋升攻击得胜率。
八、chm文档系缚木马 1 chm文献内嵌剧本推论接下来看腾讯御见胁迫谍报中心的诠释中的截图,以下是海莲花制作的一个chm文档,chm内嵌坏心剧本,点开会指示Windows安全劝诫,指示“您思允许这种交互吗?”。
图片
图片
一朝用户点击“是”,该chm文档中遮掩的坏心剧本会推论,开释一个坏心的dll文献bcdsrv.dll,接着创建名为MonthlyMaintenance的谋划任务,轮回推论msiexe.exe号令加载bcdsrv.dll文献,导致电脑被控。
图片
Part4 纪念1. 通过分析纪念以往海莲花APT组织的垂纶邮件手法发现,该组织会实时跟进最新出的1day轻佻,并结合社会工程学将这些公开或者半公开的轻佻的讹诈弘扬到了极致,并取得了很好的效果。
2. 海莲花APT组织终点热衷于开释一个子虚文档或磨蹭文档拐骗受害者,多年以来,一直热衷于dll侧加载(白加黑)去制作攻击载荷。
3. 海莲花尤其擅长社会工程学,从他们以往发送的针对中国的垂纶邮件发现,他们时刻慈祥中国大陆的热门新闻事件,实时更新垂纶邮件内容,加大垂纶得胜率。
4. 从最近几年的海莲花组织的样原本看,他们所用的第二阶段后门齐是凭证处所机器属性定制,因此每个样本的hash值齐是不一样的,即使安全分析东谈主员拿到样本,莫得处所机器的属性信息,也解密不了其中的坏心payload代码。
5. 不要翻开来历不解的邮件附件,实时更新系统补丁和要紧软件补丁,终点是不被人人爱好的Office软件补丁,点开office文档,一定要尽量幸免启用宏代码。
本领交流学问星球奋力于红蓝抵抗,实战攻防,星球不定时更新表里网攻防渗入技巧,以及最新学习照管甩手等。常态化更新最新安全动态。专题更新奇技淫巧小Tips及实战案例。
波及标的包括Web渗入、免杀绕过、内网攻防、代码审计、济急反馈、云安全。星球中已发布 300+ 安全资源,针对集结安全成员的普遍水平,并为星友提供了教程、器具、POC&EXP以及多样学习条记等等。
本站仅提供存储处事,统共内容均由用户发布,如发现存害或侵权内容,请点击举报。