海莲花组织针对移动设备攻击的分析报告

海莲花是什么?

 ”海莲花”(又名APT-TOCS、APT32、OceanLotus),被认为是来自中南半岛某国的APT攻击组织,自2012年活跃以来,一直针对中国的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动的最活跃的APT攻击组织之一。    

安天及其他安全厂商在之前已经发布过多份关于海莲花的分析报告,报告的内容主要集中在PC端,攻击手段往往以鱼叉攻击和钓鱼攻击为主,移动端的攻击并不多见。

然而,随着移动互联网的发展,一方面人们的手机逐渐出现两用性,除了包含使用者的个人隐私外,也往往会带有其社会属性,另一方面,智能手机的无线通信可以绕过内部安全监管设备,故而针对移动端的攻击也成为了整个攻击链条中的重要一环。下面,安天移动安全以发生于我国的一起移动端攻击事件为蓝本进行具体分析说明。

具体分析

表1. 典型样本基本信息

该应用伪装正常应用,在运行后隐藏图标,并于后台释放恶意子包并接收远程控制指令,窃取用户短信、联系人、通话记录、地理位置、浏览器记录等隐私信息,私自下载apk、拍照、录音,并将用户隐私上传至服务器,造成用户隐私泄露。

样本分析

该应用启动后会打开LicenseService服务:

20190524-2.png

该服务会开启f线程用于注册和释放间谍子包:

20190524-3.png

注册url:http://ckoen.dmkatti.com

20190524-4.png

动态加载间谍子包:

20190524-5.png

子包分析    

主包反射调用com.android.preferences.AndroidR类的Execute方法:

20190524-6.png

首先建立socket连接:

20190524-7.png

socket地址:mtk.baimind.com

通过与手机建立通讯,发送控制指令和上传短信、联系人、通话记录、地理位置、浏览器记录等部分隐私信息。

20190524-8.png

此外该间谍子包还建立了https通讯,用于上传录音、截图、文档、相片、视频等大文件。

20190524-9.png

20190524-10.png

https地址: https://jang.goongnam.com/resource/request.php

目前已经失活,该C2属于海莲花组织资产。 

20190524-11.png

表2. CC所在位置及作用

如下图所示:

首先,签名Subject中包含HackingTeam、Christian Pozz(Hacking Team中一个管理员的名字)字样;其次,代码中的注册功能,可以认定是对外出售的商业间谍软件;最后,根据后期Hacking Team泄漏资料来看,海莲花组织所属国家亦在其客户名单之中。

20190524-12.png

拓展分析

根据注册CC的同源性,我们查找到如下样本:

20190524-13.png

表3. 通过CC检索到的同源样本

与我们分析的样本不同,以上样本有了明显的功能改进,增加了提权功能,以45AE1CB1596E538220CA99B29816304F为例,对其assets目录名为dataOff.db的文件进行解密,解密之后的文件中带有提权配置文件,如下所示:

20190524-14.png

由此可见,在代码泄漏后HackingTeam组织的CEO表示“泄漏的代码只是很小一部分”的言论是有依据的,这也从侧面反映出网络军火商在一定程度上降低了APT攻击的门槛,使得网络攻击出现更多的不确定性。

同时我们也注意到,该系列恶意代码有通过国内第三方应用市场和文件共享网站进行的投递。

20190524-115.png

表4. 样本分发链接

总结

海莲花组织总是在演进变化,不断地通过更新其攻击手法和武器库以达到绕过安全软件防御的目的。除了武器库的不断更新,该组织也相当熟悉中国的情况,包括政策、使用习惯等。这不仅迷惑了相关人员,增加了其攻击成功率,同时也可能给目标受害群体带来不可估量的损失。

因此对于个人来讲,要切实提高网络安全意识,不要被网络钓鱼信息所蒙蔽;对于安全厂商来讲,更需要对其加深了解并持续进行针对性的对抗,提升安全防护能力,真正为用户侧的移动安全保驾护航。 

附录(IOC)

5079CB166DF41233A1017D5E0150C17A    

F29DFFD9817F7FDA040C9608C14351D3    

0E7C2ADDA3BC65242A365EF72B91F3A8    

C630AB7B51F0C0FA38A4A0F45C793E24    

CE5BAE8714DDFCA9EB3BB24EE60F042D    

BF1CA2DAB5DF0546AACC02ABF40C2F19    

D1EB52EF6C2445C848157BEABA54044F    

45AE1CB1596E538220CA99B29816304F    

50BFD62721B4F3813C2D20B59642F022    

86c5495b048878ec903e6250600ec308    

780a7f9446f62dd23b87b59b67624887    

DABF05376C4EF5C1386EA8CECF3ACD5B    

86C5495B048878EC903E6250600EC308    

F29DFFD9817F7FDA040C9608C14351D3    

C83F5589DFDFB07B8B7966202188DEE5    

229A39860D1EBEAFC0E1CEF5880605FA    

A9C4232B34836337A7168A90261DA410    

877138E47A77E20BFFB058E8F94FAF1E    

5079CB166DF41233A1017D5E0150C17A    

2E780E2FF20A28D4248582F11D245D78    

0E7C2ADDA3BC65242A365EF72B91F3A8    

315F8E3DA94920248676B095786E26AD    

D1EB52EF6C2445C848157BEABA54044F    

DABF05376C4EF5C1386EA8CECF3ACD5B    

AD32E5198C33AA5A7E4AEF97B7A7C09E    

DF2E4CE8CC68C86B92D0D02E44315CC1    

C20FA2C10B8C8161AB8FA21A2ED6272D    

55E5B710099713F632BFD8E6EB0F496C    

CF5774F6CA603A748B4C5CC0F76A2FD5    

66983EFC87066CD920C1539AF083D923    

69232889A2092B5C0D9A584767AF0333    

C6FE1B2D9C2DF19DA0A132B5B9D9A011    

CE5BAE8714DDFCA9EB3BB24EE60F042D    

50BFD62721B4F3813C2D20B59642F022    

C630AB7B51F0C0FA38A4A0F45C793E24    

810EF71BB52EA5C3CFE58B8E003520DC    

BF1CA2DAB5DF0546AACC02ABF40C2F19    

45AE1CB1596E538220CA99B29816304F    

5AF0127A5E97FB4F111ECBA2BE1114FA    

74646DF14970FF356F33978A6B7FD59D    

DF845B9CAE7C396CDE34C5D0C764360A    

C20FA2C10B8C8161AB8FA21A2ED6272D    

641F0CC057E2AB43F5444C5547E80976

致谢

感谢奇安信红雨滴团队(原360企业安全威胁情报小组)对于因sinkhole造成的域名归因疏漏的热心指正。

*本文作者:antiylab


发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注