前言
OceanLotus(海莲花)APT组织是一个长期针对中国及其他东亚、东南亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织,该组织也是针对中国境内的最活跃的APT组织之一,该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透。今天我们来分析一下其中的一个加载器样本。
正文
这个样本在网上只找到DLL样本,没有找到对应的调用板块。
放入IDA分析,可以看到这一部分比较简单,直接调用资源节,加载资源节到内存中。
加载到内存
进入里面,有比较多的混淆
单步运行,调用CreateThread
之后动态导入函数
创建进程
获取本地信息
获取进程ID
开辟空间
开辟的地址
用火绒剑查看,此时还未写入
开辟第二个的空间
第一次写入
遍历查找线程
暂停目标线程
写入第一块开辟的空间,可以看到这一块主要是调用第一块进程,作为一个跳板
再ResumeThread
设置新的EIP进入shellcode板块
导入DLL
分配内存
复制内容
修改内存属性
新阶段的DLL入口
这里是CS的DLL,所以可以得知该处网络链接所用系统函数,下断点,就可以获得外联IP
该IP已经被标记
参考:
海莲花的CobaltStrike加载器-安全客 – 安全资讯平台 (anquanke.com)
原文始发于微信公众号(Th0r安全):海莲花组织APT加载器样本分析
