海莲花：针对的新一波水坑攻击(2)

图4. 第一阶段JavaScript载荷

默认情况下它们处于禁止状态，需要将它们的状态改变为―允许‖，请分别选择这两个服务扩展，点击―允许‖按钮，启用它们，使得perl脚本程序可以被iis执行。只有在“启用最终聚集”处于启用状态时，此选项才可用。目前，aa.com、bb.com、cc.com直至xx.com、yy.com、zz.com这26个域名中，有17个域名或启用或转发，有1个域名处于停放状态，2个为域名出售页面，5个域名未启用，另有1个域名现为静态页面。

随后，脚本使用自定义算法解密命令及控制服务器域名。比如，3B37371M1B1B382R332V1A382W36392W2T362T1A322T38的解密结果为wss://tcog.thruhere[.]net。对于每个第一阶段域名，攻击者会注册不同的第二阶段域名，托管在不同的服务器上。与解密函数等效的 Python 代码如图5所示。

def decrypt(encrypted_url):
    s = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ"
    return "".join(chr(s.index(encrypted_url[e]) * 36 + s.index(encrypted_url[e+1])) for e in range(0,len(encrypted_url),2))

图5. 用来解密C&C服务器地址的Python代码

解密C&C地址后，脚本会发送长度为15字符的一个字符串，然后接收并执行第二阶段载荷。所有的通讯流量使用的都是基于SSL的WebSocket协议。客户端与服务端之间可以通过该协议建立全双工通信。这意味着一旦客户端建立连接，即使没有发送请求，服务器也可以向客户端发送数据。然而，在这种攻击场景中，攻击者使用Web套接字的主要目的似乎是想规避检测机制。

第二阶段脚本实际上是一个侦察脚本。OceanLotus开发者复用了Valve的fingerprintjs2库（可在 GitHub 上获取该库），稍加修改，添加了网络通信及自定义报告功能。

该脚本执行的不同操作如图6所示。所有流量都通过第一阶段载荷所建立的WebSocket会话进行传输。

图6. 第二阶段攻击载荷执行流程

在分析恶意软件的 command and control (c&c) 通信时，安全研究人员观察到它会发送系统信息并请求用于加密和解密密钥的密码 api。https协议使用ssl在发送方把原始数据进行加密，然 后在接受方进行解密，加密和解密需要发送方和接受方通过交换共知的密钥来实现，因此，所传送的数据不容易被网络黑客截获和解密。目标是a与b通信的内容，有且只有a和b有能力看到通信的真正内容，为了防止内容被第三方窃取，发送方可以通过密钥s对聊天内容进行加密realplayer插件，接收方在收到聊天内容之后，再用密钥s解密聊天内容，只要密钥不公开给第三者，同时密钥s足够安全，我们就可以保证只有a与b知道聊天内容。

与之前的水坑攻击方式相比，这种攻击方法使得防御方更加难以分析攻击活动，因为网络上发送的数据无法被检测并成功解密，因此能够阻止对攻击数据的网络检测机制。服务器发送的公钥始终相同，参考下文IoC部分内容。

侦察脚本会生成一个报告，格式如下所示，然后将其发送给第二阶段的C&C服务器。

{
  "history": {
    "client_title": "Ministry%20of%20Foreign%20Affairs%20and%20International%20Cooperation%20-",
    "client_url": "https://www.mfaic.gov.kh/",
    "client_cookie": "",
    "client_hash": "",
    "client_referrer": "https://www.mfaic.gov.kh/foreign-ngos",
    "client_platform_ua": "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36",
    "client_time": "2018-10-21T12:43:25.254Z",
    "timezone": "Asia/Bangkok",
    "client_network_ip_list": [
      "192.168.x.x",
      "x.x.x.x"
    ],
    "client_api": "wss://tcog.thruhere.net/",
    "client_zuuid": "defaultcommunications39e10c84a0546508c58d48ae56ab7c7eca768183e640a1ebbb0cceaef0bd07cedefaultcommunications9360af458bb803fd1f73190b80dbfb0b2768a8a6d453444dae086bc77be7",
    "client_uuid": "a612cdb028e1571dcab18e4aa316da26"
  },
  "navigator": {
    "plugins": {
      "activex": false,
      "cors": true,
      "flash": false,
      "java": false,
      "foxit": true,
      "phonegap": false,
      "quicktime": false,
      "realplayer": false,
      "silverlight": false,
      "touch": false,
      "vbscript": false,
      "vlc": false,
      "webrtc": true,
      "wmp": false
    },
    "_screen": {
      "width": 1920,
      "height": 1080,
      "availWidth": 1920,
      "availHeight": 1080,
      "resolution": "1920x1080"
    },
 "_plugins": [
[...]

图7. 指纹报告

该报告格式与Volexity研究人员在2017年的 OceanLotus Framework B 分析文章中提供的信息几乎完全相同。不同的字段也非常类似，并且包含相同的拼写错误。由于这些相似性以及目标的地理位置信息，我们非常确信OceanLotus是此次攻击活动的幕后主使者。

2)服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“hello”信息时将包含生成主密钥所需的信息。exif信息查看器(jpeg lossless rotator)是一款简单小巧的图片浏览和处理软件，它可以直接浏览界面上显示数码照片的exif信息，为用户提供最直接最直白的信息查看，方便你进行修改。改进：升级chromium内核到8.0.552.237stable，此版本修复了大量的bug当选择外部下载工具时，支持对邮件、论坛附件的支持支持了网页形式的选项设置(需在chrome://flags/里开启“标签式选项”)修复：修复了某种情况下，启动时恢复按钮不可用的问题修复了鼠标手势的数个问题修复了新标签页上的数个细节问题修复了清理浏览数据时，未能完全清除兼容模式缓存的问题修复了几个崩溃问题格子啦小编用后感：经常上网浏览资料，安全、快速、占用资源少是我们的首选，世界之窗就用这些特色征服了大多上网的人群，界之窗急速版是一款相当不错的浏览器。

此外，每台计算机还使用了两个唯一标识符，即client_zuuid和client_uuid。攻击者可能使用这两个标识符来识别并跟踪用户。2017年的攻击框架中已经存在这些标识符，并且client_uuid的计算方式也非常类似。

client_zuuid由navigator.mediaDevices.enumerateDevices中不同的deviceId值拼接而成。这些设备为浏览器可以访问的外部设备，比如或者麦克风。因此，同一台主机上同一个用户在不同访问会话期间所生成的这个值应该保持一致。

瑞影浏览器允许在同一窗口内打开任意多个页面, 减少浏览器对系统资源的占用率, 提高网上冲浪的效率. 瑞影基于ie内核开发, 这意味着您可以在瑞影浏览器中看到和 ie 一致的效果, 并能正常使用网银等支付手段. 同时, 瑞影浏览器还能有效防止恶意插件, 阻止弹窗和浮动广告, 加强网上浏览的安全. 瑞影浏览器支持各种ie 插件, 使你可以充分利用所有的网上资源. 此外, 丰富的皮肤和强大的自定义功能让你在享受上网冲浪的乐趣之余, 充分展现个性与时尚. 方便的多标签浏览, 易于上手, 毫不费力. 100%纯净安全, 页面简洁清爽, 精彩内容原汁呈现. 强大的扩展性, 插件自由选装, 布局随心操纵.。* 支持多达 96 种语言* 优化高分辨率下的页面样式* 优化惯性滚动效果* 可设置为手机 默认浏览器，在工具→设置中* 自动保存会话，当 opera mini 被意外中止或系统崩溃，您可以重新打开 opera mini 来继续上次浏览，会话保存时间为 1 小时* 全屏时使用整个屏幕* 支持多点触摸，可双指缩放页面顶级新特性 多标签浏览同时浏览多个网站，流畅切换跳转。使用 sessionstate 元素可以指定会话存储数据的模式、在客户端和服务器间发送会话标识符值的方式、会话 timeout 值和基于会话 mode 的支持值。

为了尽可能隐蔽行踪，OceanLotus攻击者为每个入侵的网站注册了第一阶段以及第二阶段域名。每个域名都托管在不同的服务器上，IP地址也不同。攻击者为此次攻击活动至少注册了50个域名，使用了至少50个服务器。

(2) 域名的一些信息有助于区分合法和非法网站，有价值的网站（合法）一般会多支付几年的域名费用，而违法、灰色行业则很少使用超过一年。(2) 域名的一些信息有助于区分合法和非法网站，有价值的网站(合法)一般会多支付几年的域名费用，而违法、灰色行业则很少使用超过一年。(2) 域名的一些信息有助于区分合法和非法网站，有价值的网站（合法）。

C&C域名合法域名

cdn-ampproject[.]com

cdn.ampproject.com

bootstraplink [.]com

getbootstrap.com

sskimresources[.]com

s.skimresources.com

widgets-wp[.]com

widgets.wp.com

表3. 攻击者模仿的部分域名列表

由于攻击者使用许多域名，并且这些域名与合法网站比较相似，因此人们难以在网络流量中单凭肉眼分辨出攻击活动。

尽管研究人员正在积极跟踪OceanLotus组织，但该组织依然会针对目标发起攻击。此外，攻击者还会定期改进所使用的 工具 集，包括水坑攻击框架以及Windows系统、macOS系统上的恶意软件。本文分析了攻击者对水坑攻击框架的最新改进，表明OceanLotus又引入了新的混淆技术，这些技术在之前的分析报告中并没有发现。此次攻击活动又给我们敲响，提醒我们需要密切跟踪这个APT组织。

卡巴斯基大受欢迎的杀毒软件会搜寻恶意软件的迹象，并在向卡巴斯基发回报告前删除或限制恶意软件。threatfire最具有特色的地方,应该就是它享有专利的行为监控技术 ( patent-pending activedefense technology ),可以监控电脑中活动的进程,当辨识到恶意的程序,或是发现可疑的行为时,便会阻止其对系统的入侵破坏,或是提示使用者进行判断.这种监控方式因为是判断某个程序的行为是否有妨碍系统安全的可疑动作,或是辨识那些会更动系统核心区域的行为,只要这个进程有「不正常」的动作就会被揪出来,理论上来说,这是更好的恶意软体防护方式,因为不管恶意软体怎麽变,他要入侵电脑就一定要做出某些动作,而我们只要揪出这些动作然后阻止即可,不需要完全依靠病毒码的方式来辨识恶意软体本身.这种监控方式因为是判断某个程序的行为是否有妨碍系统安全的可疑动作,或是辨识那些会更动系统核心区域的行为,只要这个进程有「不正常」的动作就会被揪出来,理论上来说,这是更好的恶意软体防护方式,因为不管恶意软体怎么变,他要入侵电脑就一定要做出某些动作,而我们只要揪出这些动作然后阻止即可,不需要完全依靠病毒码的方式来辨识恶意软体本身.。同时结合部署在客户本地的硬件设备，360天眼还可以对本地流量进行深度分析与存储，帮助客户实现对未知威胁恶意行为的早期快速发现，并对受害目标和攻击源头进行精准定位，实现对威胁入侵途径的回溯。

ESET研究人员将继续跟踪OceanLotus工具集的开发进度，会在GitHub上公开IoC特征。如果大家有任何疑问或者想提交相关样本，欢迎与我们联系（ threatintel@eset.com ）。

[1] ESET Research, “OceanLotus: Old techniques, new backdoor,” 03 2018. [Online]. https://www.welivesecurity.com/wp-content/uploads/2018/03/ESET_OceanLotus.pdf .

https://www.fireeye.com/blog/threat-research/2013/08/breaking-down-the-china-chopper-web-shell-part-i.html breaking down the china chopper web shell - part i。https://www.fireeye.com/blog/threat-research/2013/10/aslr-bypass-apocalypse-in-lately-zero-day-exploits.html。“我们要把《穿越火线》这个global online game，打造成global entertaiment ip。

[3] Sky Eye Lab, “OceanLotus APT Report Summary,” 29 05 2015. [Online]. .

[4] S. K. S. A. Dave Lassalle, “OceanLotus Blossoms: Mass Digital Surveillance and Attacks Targeting ASEAN, Asian Nations, the Media, Human Rights Groups, and Civil Society,” Volexity, 06 11 2017. [Online]. https://www.volexity.com/blog/2017/11/06/oceanlotus-blossoms-mass-digital-surveillance-and-exploitation-of-asean-nations-the-media-human-rights-and-civil-society/ .

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/bofangqi/article-106576-2.html