關于海蓮花組織針對移動設備攻擊的分析報告

2019-06-02 65738人圍觀 ,發現 4 個不明物體 安全報告終端安全

海蓮花是什么?

 ”海蓮花”(又名APT-TOCS、APT32、OceanLotus),被認為是來自中南半島某國的APT攻擊組織,自2012年活躍以來,一直針對中國的敏感目標進行攻擊活動,是近幾年來針對中國大陸進行攻擊活動的最活躍的APT攻擊組織之一。

安天及其他安全廠商在之前已經發布過多份關于海蓮花的分析報告,報告的內容主要集中在PC端,攻擊手段往往以魚叉攻擊和釣魚攻擊為主,移動端的攻擊并不多見。

然而,隨著移動互聯網的發展,一方面人們的手機逐漸出現兩用性,除了包含使用者的個人隱私外,也往往會帶有其社會屬性,另一方面,智能手機的無線通信可以繞過內部安全監管設備,故而針對移動端的攻擊也成為了整個攻擊鏈條中的重要一環。下面,安天移動安全以發生于我國的一起移動端攻擊事件為藍本進行具體分析說明。

具體分析

20190524-1.png

表1. 典型樣本基本信息

該應用偽裝正常應用,在運行后隱藏圖標,并于后臺釋放惡意子包并接收遠程控制指令,竊取用戶短信、聯系人、通話記錄、地理位置、瀏覽器記錄等隱私信息,私自下載apk、拍照、錄音,并將用戶隱私上傳至服務器,造成用戶隱私泄露。

樣本分析

該應用啟動后會打開LicenseService服務:

20190524-2.png

該服務會開啟f線程用于注冊和釋放間諜子包:

20190524-3.png

注冊url:http://ckoen.dmkatti.com

20190524-4.png

動態加載間諜子包:

20190524-5.png

子包分析

主包反射調用com.android.preferences.AndroidR類的Execute方法:

20190524-6.png

首先建立socket連接:

20190524-7.png

socket地址:mtk.baimind.com

通過與手機建立通訊,發送控制指令和上傳短信、聯系人、通話記錄、地理位置、瀏覽器記錄等部分隱私信息。

20190524-8.png

此外該間諜子包還建立了https通訊,用于上傳錄音、截圖、文檔、相片、視頻等大文件。

20190524-9.png

20190524-10.png

https地址: https://jang.goongnam.com/resource/request.php。

目前已經失活,該C2屬于海蓮花組織資產。 

20190524-11.png

表2. CC所在位置及作用

如下圖所示:

首先,簽名Subject中包含HackingTeam、Christian Pozz(Hacking Team中一個管理員的名字)字樣;其次,代碼中的注冊功能,可以認定是對外出售的商業間諜軟件;最后,根據后期Hacking Team泄漏資料來看,海蓮花組織所屬國家亦在其客戶名單之中。

20190524-12.png

拓展分析

根據注冊CC的同源性,我們查找到如下樣本:

20190524-13.png

表3. 通過CC檢索到的同源樣本

與我們分析的樣本不同,以上樣本有了明顯的功能改進,增加了提權功能,以45AE1CB1596E538220CA99B29816304F為例,對其assets目錄名為dataOff.db的文件進行解密,解密之后的文件中帶有提權配置文件,如下所示:

20190524-14.png

由此可見,在代碼泄漏后HackingTeam組織的CEO表示“泄漏的代碼只是很小一部分”的言論是有依據的,這也從側面反映出網絡軍火商在一定程度上降低了APT攻擊的門檻,使得網絡攻擊出現更多的不確定性。

同時我們也注意到,該系列惡意代碼有通過國內第三方應用市場和文件共享網站進行的投遞。

20190524-115.png

表4. 樣本分發鏈接

總結

海蓮花組織總是在演進變化,不斷地通過更新其攻擊手法和武器庫以達到繞過安全軟件防御的目的。除了武器庫的不斷更新,該組織也相當熟悉中國的情況,包括政策、使用習慣等。這不僅迷惑了相關人員,增加了其攻擊成功率,同時也可能給目標受害群體帶來不可估量的損失。

因此對于個人來講,要切實提高網絡安全意識,不要被網絡釣魚信息所蒙蔽;對于安全廠商來講,更需要對其加深了解并持續進行針對性的對抗,提升安全防護能力,真正為用戶側的移動安全保駕護航。 

附錄(IOC)

5079CB166DF41233A1017D5E0150C17A

F29DFFD9817F7FDA040C9608C14351D3

0E7C2ADDA3BC65242A365EF72B91F3A8

C630AB7B51F0C0FA38A4A0F45C793E24

CE5BAE8714DDFCA9EB3BB24EE60F042D

BF1CA2DAB5DF0546AACC02ABF40C2F19

D1EB52EF6C2445C848157BEABA54044F

45AE1CB1596E538220CA99B29816304F

50BFD62721B4F3813C2D20B59642F022

86c5495b048878ec903e6250600ec308

780a7f9446f62dd23b87b59b67624887

DABF05376C4EF5C1386EA8CECF3ACD5B

86C5495B048878EC903E6250600EC308

F29DFFD9817F7FDA040C9608C14351D3

C83F5589DFDFB07B8B7966202188DEE5

229A39860D1EBEAFC0E1CEF5880605FA

A9C4232B34836337A7168A90261DA410

877138E47A77E20BFFB058E8F94FAF1E

5079CB166DF41233A1017D5E0150C17A

2E780E2FF20A28D4248582F11D245D78

0E7C2ADDA3BC65242A365EF72B91F3A8

315F8E3DA94920248676B095786E26AD

D1EB52EF6C2445C848157BEABA54044F

DABF05376C4EF5C1386EA8CECF3ACD5B

AD32E5198C33AA5A7E4AEF97B7A7C09E

DF2E4CE8CC68C86B92D0D02E44315CC1

C20FA2C10B8C8161AB8FA21A2ED6272D

55E5B710099713F632BFD8E6EB0F496C

CF5774F6CA603A748B4C5CC0F76A2FD5

66983EFC87066CD920C1539AF083D923

69232889A2092B5C0D9A584767AF0333

C6FE1B2D9C2DF19DA0A132B5B9D9A011

CE5BAE8714DDFCA9EB3BB24EE60F042D

50BFD62721B4F3813C2D20B59642F022

C630AB7B51F0C0FA38A4A0F45C793E24

810EF71BB52EA5C3CFE58B8E003520DC

BF1CA2DAB5DF0546AACC02ABF40C2F19

45AE1CB1596E538220CA99B29816304F

5AF0127A5E97FB4F111ECBA2BE1114FA

74646DF14970FF356F33978A6B7FD59D

DF845B9CAE7C396CDE34C5D0C764360A

C20FA2C10B8C8161AB8FA21A2ED6272D

641F0CC057E2AB43F5444C5547E80976

致謝

感謝奇安信紅雨滴團隊(原360企業安全威脅情報小組)對于因sinkhole造成的域名歸因疏漏的熱心指正。

*本文作者:antiylab,轉載請注明來自FreeBuf.COM

發表評論

已有 4 條評論

取消
Loading...

特別推薦

推薦關注

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php jizzz