前言
OceanLotus(海莲花)APT组织是一个长期针对中国及其他东亚、东南亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织,该组织也是针对中国境内的最活跃的APT组织之一,该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透。
正文
查看资源节
用IDA进行查看,在临时目录释放文件
运行shellcode
用OD进行调试
打开一个迷惑文档
然后进入正式利用,执行shellcode
进入shellcode,开头自解密
压入域名和一些相关信息
通过hash对比,查找函数
计算C2长度
上传本地信息
利用花指令干扰分析
压入后续数据
动态调用函数
开始生成分配空间
拷贝数据
大量充斥着花指令
进行相应解密操作
后续也是继续动态导入
进入denesrat部分
原文始发于微信公众号(Th0r安全):APT组织海莲花利用热点信息传播样本分析
