AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
AI清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划 AI清静 AI清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

深度剖析及防护：加密木马攻击，海莲花？

2015-06-15

宣布者：AG公司科技

随着匿名者攻击事务的跟踪剖析走向深入，5月28日，又一系列针对中国的攻击行为浮出水面。这个被各人称为“海莲花”组织所实验的攻击，其攻击特征是怎样的，究竟是纯粹的木马，照旧APT？随之而来的攻防思绪会爆发怎样的转变？用户又该怎样应对？

本报告以后次攻击事务中截获的典范木马样本入手，剖析其攻击行为，比照木马及APT的特征，为用户思索下一步的应对计划，给出了转变思绪的攻防模子，提出未来攻防战中输赢判断标准及生长偏向，并推荐了应对此次攻击的解决计划及实验办法。

目录

攻击：是谁？
- 海莲花
- 样天职析
攻击：是木马照旧APT
- 木马特征
- APT特征
- 要关注的事情
防护：思绪转换
- 怎么明确
- 怎么做
防护：NGTP计划
- 完整安排
- 简化安排
- 产品安排
- 终端防护
威胁情报
关于AG公司科技

攻击：是谁？

AG公司科技威胁响应中心一直在一连关注网络攻击事务并举行跟踪剖析，这些攻击事务中有来自海内的，也有来自外洋，犹如现实社会中的恐怖主义一样，有些事务会有组织果真认可，好比匿名者（Anonymous），但也有一些事务是没有组织对其认真的，这些事务AG公司科技的专家会用相关的模子举行分类研究，其中的一个参考指标就是其攻击行为及习用的攻击形式。

海莲花

2015年5月28日，一系列针对中国海事机构的攻击行为浮出水面，业界有传攻击事务涉及30多个国家，事后未有组织声称对这些攻击事务认真，但其中可以看到的是，相关海事机构的攻击大大都来自木马。若是说这些攻击是来自某个黑客组织，那么这个组织无疑是较量低调的，低调到没看到其果真的命名�？赡苁怯捎谡庑┕セ髂康某Ｉ婕爸泄暮Ｊ录跋喙鼗�，某公司将其命名为“海莲花”，但思量到这些攻击的一些特征，1多接纳木马，2多针对海事机构，3攻击有一定的数目，4若是保存这个组织，他们很低调，那可能使用海马（Seahorse）称呼他们更为贴切。

样天职析

AG公司科技威胁响应中心在一样平常监测中获取到了该组织的一些木马样本，思量到海内用户的使用习惯，选择了一个具有代表性的加密木马（Encrypting Trojan horse）举行剖析，通太过析可以看到其完整的执行历程。样本通常是一个可执行文件，可能其图标类似word.exe程序，执行后会天生两个较量的要害的文件qq.exe以及Bundle.rdb文件。

随后向IP地点193.169.244.73提倡毗连

通过追踪对应的IP地点，发明其所在区域及绑定域名来自乌克兰，现在域名页面获取已经失效，但不扫除有相关的反追踪手艺手段。而从已往的一连跟踪情形来看，美国和乌克兰的域名较多。

样本整个完整的执行历程如下：

1 点击之后样本会释放出形如XXXX.tmp的文件并运行；
2 该文件首先会释放一个正常的doc文件运行，用以疑惑通俗用户；
3 然后释名为qq.exe和Bundle.rdb的两个文件；
4 用户一旦运行了”qq.exe”；
5 这个李鬼就会将Bundle.rdb文件注入到一个僵尸历程中；
6 Bundle.rdb实现与攻击者的服务器举行交互。

下面我们将其中的一些追踪的手艺细节泛起出来，通过这些细节泛起，有利于后续对该木马举行查杀和防护，以及为整体剖析攻击组织的行为提供信息及数据支持。

木马样本入口剖析

样本信息

从截获的样原来看，该样本伪装为word文档，引诱用户去点击，而撒播途径也主要通过邮件传输，U盘拷贝等形式撒播。先检查该样本有没有加壳。

也就是说该样本并没有接纳古板的加壳手艺来逃避查毒软件的查杀，而是接纳了其他加密的方法来绕过扫描。

查找木马程序入口

上图是IDA反汇编后，截取的winmain函数的主要部分，从图中概略可以看出该样本运行时会检测下令参数最先部分是否含有”–ping”字符串。若是有该参数会直接进入SUB_40CF20函数中运行；若是没有该参数，之后会建设暂时文件，并通过CreateProcessW函数以新历程的方法启动该暂时文件（也就是子体）。
接下来我们剖析两个方面：

-关注该木马（母体）建设的是什么暂时文件（子体），子体的启动参数是什么（图中给出的commandline） -若是母体没有参数“–ping”情形，在sub_40cf20函数内里做什么行动

母体执行历程

剖析母体入口

剖析到这里，我们只知道该样本要带有”–ping”，可是还不知道究竟有什么参数；那么能做的就是直接在虚拟机中启动它，不需带有任何参数，凭证我们的静态剖析可知，这种情形下会先天生一个子体，然后通过CreateProcessW来启动该子体.

启动windbg，虽然知道了母体内里有winmain函数，可是在没有符号文件的情形下windbg还不可识别出winmain入口函数，以是在windbg加载母体后，需要找到一个断点来动态调试winmain函数。通过IDA反汇编知道，在winmain函数内里先是挪用了一个API函数GetComputerNameA。

在运行G下令号会断在此处，如下图所示

审查该函数的参数

用GU下令该函数运行完成后，可以看到该函数已经取得了主机名，如下图：

关于虚拟机系统：

接下来会将大写字母酿成酿成小写，如下图

转换后的效果：

之后会通过CoInitialize函数告诉Windows以单线程的方法建设com工具，CoInitialize并不装载COM 库，它只用来初始化目今线程，让线程注册一个套件，而线程运行历程中一定在此套件。如下图：

母体怎样爆发子体

下面的行动就是要判断它启动时是否带有参数，若是没有参数就会在暂时文件夹建设一个文件

显示获取目今用户的暂时目录，之后会在该目录下爆发一个随机文件名。

在建设了暂时文件后，接着就会先获得母体文件，同时爆发一个随机字符串，该随机字符串会作为未来子体启动时参数部分，之后将释放爆发的子体（前面只是爆发暂时文件还没有写入数据，就是要写入数据，写入的大部分内容照旧母体的数据），同时在结构出CreateProcessW函数启动子体程序时的参数部分。入下图

子体逃避杀毒软件

当爆发新的文件时，杀毒软件通常都有有所觉察，为了能逃避古板杀毒软件的查杀，在天生子体时，使用了加密手艺对子体做了块加密。下面是函数SUB_40AFF0爆发随机字符串的主要历程，

由下图可知，在复制母体历程中对母体自己先做了处置惩罚，函数SUB_40CEA0挪用SUB_40CB30，该函数在复制写入之前对母体做的处置惩罚，挪用历程和处置惩罚历程如下图：

由下图可知，在复制母体历程中对母体自己先做了处置惩罚，函数SUB_40CEA0挪用SUB_40CB30，该函数在复制写入之前对母体做的处置惩罚，挪用历程和处置惩罚历程如下图：

子体逃避杀毒软件

当爆发新的文件时，杀毒软件通常都有有所觉察，为了能逃避古板杀毒软件的查杀，在天生子体时，使用了加密手艺对子体做了块加密。下面是函数SUB_40AFF0爆发随机字符串的主要历程，

由下图可知，在复制母体历程中对母体自己先做了处置惩罚，函数SUB_40CEA0挪用SUB_40CB30，该函数在复制写入之前对母体做的处置惩罚，挪用历程和处置惩罚历程如下图：

接下来就是要建设一个子历程（子体），同时检查启动的该子体和参数

从上图可知createprocessw第一个参数是”c:UsershomeAppDataLocalTempDBE3.tmp”第二个参数是” “C:UsershomeAppDataLocalTempDBE3.tmp” –pingC:ocean est.exe 98A92D9A03B32BBB789802827DD0F5FB245F07A28BE4E9251E55C06A43DAA994A0852C6623D4FEB93139B4A028463B7BF27F727372E5813871AFD7D01AB44430”

也就是子体名字叫DBE3.tmp（在多次调试历程中，每次爆发的暂时文件都纷歧样），爆发的随机字符串着实太长了。

子体执行历程

剖析子体入口

到现在为止，母体的启动历程基本上剖析完成了，我们在最先说到若是有—ping参数及其他部分，会进入SUB_40CF20函数。如下图

由于我们并不知道母体参数ping后面详细接什么内容，以是不与剖析。着实不必单独今天剖析else后面的内容，由于我们知道了子体主要复制了母体的程序，并添加了子体启动时的参数，通过createprocessW函数启动子体时，子体会直接进入else内里，由于现在已经有”–ping”参数了。以是我们剖析子体就会剖析到该分支。
子体剖析，在上面已经知道了子体时由母体复制而来，并且在子体启动时已经有了参数，凭证winmain函数的代码流程可知，子体会进入

子体入口动态跟踪

接下来就是要看函数SUB_40CF20内里做了哪些操作。以上面获得的子图DBE3.tmp为例，在windbg调试带参数的子体可以像如下设置

为了能够动态调试子函数sub_40CF20，需要在该函数出下断点，可是由于该函数不是标准的API函数，以是也没有符号表，这样很难找到该函数的入口地点。对此我们通过视察IDA今天反汇编代码，可知sub_40CF20在CoInitialize和memicmp函数之后会被挪用，以是我们可以在标准API _memicmp或是它之前的CoInitialize函数下断点，然后动态跟进sub_40CF20函数即可。本例在CoInitialize下断点

函数断下来后单步跟踪，跟进IDA静态剖析_memicmp较量有没有”–ping”，若是有的话就会执行到sub_40CF20函数，由于子体内里包括了该参数，也就能直接进入else内里，审查伪C和反汇编代码

单步动态跟踪windbg，进入JZ loc_40D6EE

进入else内里首先sleep(0x7d0)只有挪用sub_40CF20，并将子体参数作为该该函数的参数传进去，跟进该函数

该函数内部做的操作:

验证子体参数中是否包括” ”，也就是说在启动子体时，

此处参数之间的支解不可是空格，必需是” ” ，天生test.exe天生test.docx文档

子体释放docx文档历程

上面说到sub_40BBA0函数成了docx文档，那么是怎么天生的，其挪用历程如下图

也就是说最终挪用了函数sub_40B9A0函数，那就看看该函数的主要流程：

上图是截图该还函数的主要代码，从代码中可知该函数使用test.exe，天生了test.docx文档，并翻开了该文档，这就是为什么若是我们加参数直接翻开DBE3.tmp文件时，天生的test.docx能够自动翻开的缘故原由。

子体的反调试手艺

为了能够避开虚拟机检测或是在虚拟机中调试，子体中加入动态反调试手艺，判断是否有虚拟机

函数挪用关系如上图所示，在函数内里做了虚拟机的判断

从代码中看出，该子体会判断自己是否在虚拟机中；进一步跟踪sub_407260看看判断vmware内里是怎么操作的：

Vmware为真主机与虚拟机之间提供了相相互同的通讯机制，它使用“IN”指令来读取特定端口的数据以举行两机通讯，但由于IN指令属于特权指令，在处于掩护模式下的真机上执行此指令时，除非权限允许，不然将会触发类型为“EXCEPTION_PRIV_INSTRUCTION”的异常，而在虚拟机中并不会爆发异常，在指定功效号0A（获取VMware版本）的情形下，它会在EBX中返回其版本号“VMXH”。

逃避虚拟机检测机制

经由上面的剖析，我们知道了在虚拟中运行会直接退出，由于函数sub_40B840执行完成后返回后，返回了1；同时函数sub_40B930也就返回了1；这样子体就会终止了运行，如下图

但为了在虚拟机中剖析子体，手艺职员使用动态调试手艺，修改代码流程，在sub_40B930返回后，修改返回值让其继续运行，如下图所示

这样程序就能进入if语句内里继续运行。接下来做的事情就是剖析参数部分的随机字符串并转化编码

在编码转换完成后，最先解密文件。前面说过，母体在天生子体时会做处置惩罚后天生子体，该处置惩罚就是分块加密的历程。下面是先凭证参数中的随机字符串天生解密秘钥，然后在举行解密。

接下来会遍历历程列表，关闭相关历程。在解密完成后，进入函数sub_40C6F0内里，遍历历程列表如下图

同时在函数内里sub_40C6F0内里完成历程遍历事情，其最终挪用了sub_40B380

该照旧最先显示遍历系统历程，并取得hash值，与指定的值较量，若是相等则关闭该历程。

释放qq.exe及bundle.rdb文件

为了能够疑惑用户，样本在天生执行文件时，特意命名为qq.exe;在挪用关系图中的sub_40B790函数返回后，就会挪用sub_40c260函数天生qq.exe文件，如下图

该函数在内部挪用sub_40BE40来天生QQ.exe

释放为国际版的QQ.exe，海内的用户通常不会使用这个版本，不知道是攻击者的疏忽照旧有其他的目的。

之后在再次挪用该函数天生bundle.rdb文件，传入的参数爆发了转变

<<上一篇

防护计划：匿名者攻击跟踪剖析

>>下一篇

简要剖析：Hacking Team 远程控制系统

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

? 2026 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号