海莲花（APT-Q-31）组织数字武器Rust加载器技术分析

下面以样本598544a350d496bacabfc5b905fae6a4为例进行分析。

首先读取EXE文件自身数据。

加密数据的长度保存在文件末尾倒数24字节位置，长度为0x4D838，用于XOR解密的key从文件末尾倒数20字节开始。

解密得到的内容如下，其中包含下一阶段的shellcode。

根据计算，加密数据位于该样本文件的偏移位置0x462C1，而EXE最后一个段”.reloc”在0x45000处结束，可见加密数据是附加在原始EXE之后。

加载器从”C:\Windows\system32\”目录下选择一个DLL文件加载进内存。

先将加载DLL的.text段对应内存空间访问权限修改为“读写”，再复制之前解密出的shellcode内容到.text段，并修改权限为“读写可执行”，最后执行shellcode。

此次发现的大部分Rust加载器样本会使用第一阶段的shellcode再度解密并执行包含CS beacon木马的第二阶段shellcode，而个别样本的第一阶段shellcode直接运行CS beacon木马。

如果是带有解密功能的第一阶段shellcode，首先定位配置数据的基地址位置，将其保存在rsi寄存器中。

从rsi+0x428位置获取第二阶段shellcode的长度（这里为0x4C0D0），保存在r14d寄存器中，然后调用VirtualAlloc分配具有可读写执行权限的内存。

分配内存的起始地址（这里为0x4E0000）保存在r15寄存器中，rsi+0x42C位置为第二阶段shellcode加密数据的起始地址。循环调用第一阶段shellcode偏移0x4C844（内存地址0x7FEFA9CD844）处的函数，每次解密8字节数据，解密结果保存在分配内存中。

解密第二阶段shellcode完成后，直接调用执行。

第二阶段shellcode中包含一个CS beacon木马，内存加载执行。木马PE文件数据在偏移0x10C2处， File Header结构的magic number修改为”4E 4F”（0x4F4E）。

提取beacon木马的配置信息，C2为ecom.dfizm[.]com:443。

捕获的海莲花样本第二阶段shellcode有些不同，采用如下代码定位CS beacon木马的位置，DOS Header结构的magic number改为0x5041，不过File Header结构的magic number仍使用0x4F4E。

根据以上代码相似性，我们认为这些上传到VirusTotal平台的Rust加载器也与海莲花组织有关。

此外，之前攻击活动中捕获到的海莲花样本CS配置数据中的license_id同样是987654321。

实际上，开源样本中CS木马涉及的license_id共有2个。

若需运行，安装来历不明的应用，可先通过奇安信威胁情报文件深度分析平台（https://sandbox.ti.qianxin.com/sandbox/page）进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

064cd0afb4dc27df9d30c7f5209a8e5b

080c5ee76e27fb361b2e2946afc05cb6

96520d209bd3f4908843388a5643f498

3ada3a7ff12dbe5e129b4aec77051843

bf634036012335d802fc6abc1a7787bd

598544a350d496bacabfc5b905fae6a4

C&C

oo-advances-computers-interests.trycloudflare.com

guilty-patricia-connecticut-pulled.trycloudflare.com

ecom.dfizm.com

[2].https://www.secrss.com/articles/60060

[3].https://www.intrinsec.com/wp-content/uploads/2024/01/TLP-CLEAR-2024-01-09-ThreeAM-EN-Information-report.pdf