1、概述

安天CERT（安全研究与应急处理中心）在2018年12月至今，捕获多例针对中国用户的恶意宏文档攻击样本。这些恶意文档通过在模糊的文字背景上伪装出杀毒软件的安全检测结果，诱导受害者启用恶意宏代码，向Word进程自身注入Shellcode，最终在内存中解密和运行后门程序。根据对该后门的深入分析，我们发现该样本来自海莲花组织。安天于2015年5月27日发布关于该组织的分析报告引发业内对该组织的持续关注。鉴于安天在当时所捕获的攻击中，发现了攻击方使用了商用攻击平台Cobalt Strike，安天将其命名为APT-TOCS（即借助CS平台的APT攻击组织），但由于使用CS只是该攻击组织的一个特点，且缺乏组织命名的地缘特点，因此，我们后续采用了友商360的命名——“海莲花”。本次发现样本与2018年12月ESET曝光过的海莲花专用后门极为相似，而通过对后门样本的C2进行关联，我们发现了更多通过恶意自解压程序传播该后门的样本。其中部分样本针对中国，更多的样本则针对柬埔寨等多国。部分自解压样本传播的后门，其C2直接连接到了已知的海莲花组织的网络基础设施。根据专用后门和网络基础设施这两方面的强关联性，我们有理由相信这些样本关联的攻击行动是海莲花APT组织所为。

2、样本分析

2.1、样本标签

相关攻击载荷均为Word文档，但并未使用漏洞。而是在其中嵌入恶意宏代码，通过宏代码触发后续恶意行为，最终向目标主机植入后门，这是一个阶段以来较为流行的方式。攻击者为使受害目标启用宏代码，在文档正文中通过一段欺骗性内容诱导用户点击“启用内容”从而触发恶意宏代码执行，我们从这批样本中列举其中两个的情报标签：

2.2、技术分析

相关文档样本采用了社会工程技巧，伪装出360杀软的安全检测结果，诱导受害者启用附带的恶意宏，其正文内容见图2-1、图2-2所示。

图2-1 恶意文档1截图

图2-2 恶意文档2截图

恶意样本中包含被混淆的vb脚本，解混淆后发现此脚本作用为：

1.复制当前文件到%temp%文件夹下。

2.获取并解密第二段脚本，试图写入注册表（"HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Security\AccessVBOM"）。此注册表值为1时，允许对文档的vb模块进行访问和修改，如下图所示：

图2-3 读取并修改注册表

3.打开%temp%下已复制的文档，移除文档中已存在的vb模块，写入新模块（图2-4）：

图2-4 修改已复制文件

4.打开已复制文档调用vb模块中的“x_N0th1ngH3r3”函数如下图所示，之后，恶意文档显示一个虚假消息，如图2-5、图2-6所示：

图2-5 调用vb函数

图2-6 虚假消息显示

第二段脚本与第一段脚本有颇多相似之处，解密第三段脚本，然后其通过设置注册表，获得对自身vb资源修改的能力，并在文档自身中加入第三段脚本：

图2-7 第二段脚本主要功能（脚本已反混淆）

第三段脚本解密出shellcode，并将其注入到winword.exe进程中。脚本入口函数仍然命名为“x_N0th1ngH3r3”，此函数会区分64位或32位进程，采用适当方式进行进程注入：

图2-8 64位进程注入的前期准备

图2-9 32位进程注入的前期准备

注入进程的代码有908 KB (929,792 字节)，经过深入分析发现，这段注入的代码会引导运行最终的后门程序，该后门已于2018年12月被ESET曝光，为海莲花组织所开发使用。

后门程序的原始名称为“{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll”，见下图：

图2-10 后门程序在内存中的信息

后门首先进行初始化，将资源节RCData加载至内存中，解密出配置数据和库文件：

图2-11 后门资源节包含的RC4加密数据

其解密出的数据内容：

图2-12 内存中解密的配置数据和库文件

图2-12中从上至下的内容依次代表：

1.注册表位置：

· HKEY_CURRENT_USER\Software\App\AppX70162486c7554f7f80f481985d67586d\Application

· HKEY_CURRENT_USER\Software\App\AppX70162486c7554f7f80f481985d67586d\DefaultIcon

这两处注册表的键值存放后门C2返回给受害主机的唯一UUID，作为session ID，以实际调试为例：32034d33-aecc-47d4-9dcd-f0e56063087f。

2.httpprov库文件，用于支持HTTP/HTTPS/SOCKS的方式同C2通信，与libcurl静态链接。

初始化完成后，后门开始通过HTTP协议POST方式，依次与C2列表中可用的C2通讯。HTTP通讯的User Agent为：'Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0)'。

图2-13 后门同C2通讯的硬编码User Agent

3.后门会针对受害主机生成一个指纹，其支持的功能包括：进程操作、注册表操作、获取硬盘信息、本地文件操作、释放和执行程序、内存注入等，同之前ESET曝光的版本没有大的变化。如下图所示，case 0x1 移动文件、case 0x3 获取硬盘信息、在case 0、2、4、5还包含：0xe 文件遍历、0xf 删除文件、0x12 创建文件夹、0x13删除文件夹。

图2-14 后门指令分支

本次捕获的海莲花样本较以往在技术手段上有了一定程度的提高，使用宏代码进行Shellcode注入，其投放载荷的全程无文件落地，可以看出海莲花组织仍然在积极更新自身攻击手法，试图使自己更加隐蔽，进而图谋更长久的潜伏于受害者机器。

3、关联分析

在分析后门C2唯一解析IP：45.122.***.***的时候，我们注意到了该IP曾被一个伪装成Adobe Reader主程序的恶意自解压程序“AcroRd32.exe”作为C2连接使用：

图3-1 后门C2关联到的自解压程序

该RAR自解压程序上传时的文件名为“李建香 (个人简历).exe”，最后修改时间同恶意文档1较为接近，图标伪装成Adobe Reader。运行后通过“regsvr32”命令注册运行恶意控件，然后打开提示加密的中文PDF文档，由于当前未获取密码，未能知悉正文内容，但目前看来该PDF文档是无恶意行为的。

图3-2 C2关联到的2018年12月攻击中国的自解压样本

通过样本关联我们找到了更早的时间内，使用相同手法攻击柬埔寨等国的自解压样本：

图3-3 2018年7月相同手法攻击越南的样本

图3-4 2018年8月VirusTotal平台上与柬埔寨通过网页上传的相同手法的恶意样本

图3-5 2019年1月攻击目标未知的相同手法样本

目前发现的所有相关自解压样本，其图标都伪装成Adobe Reader、Office和图片等，部分样本的文件名还会伪装成诸如：“AcroRd32.exe”、“Excel.exe”、“WinWord.exe”等：

图3-6 自解压程序样本的图标伪装

它们包含的图片和Word文档也都是正常文件，作用是成功运行恶意载荷后分散受害者的注意力。

所有自解压样本中包含的恶意OCX控件的作用，是在内存中解密和调用最终的后门，我们将提取出的所有后门样本同第2节中恶意文档释放的后门进行代码比对，发现彼此都高度一致，基本能确认具有相同的来源。其中部分后门的C2连接到了已知的海莲花组织的网络基础设施：154.16.***.***该IP曾被多家安全厂商多次曝光，为海莲花组织长期维护和使用。

4、小结

通过以上分析，海莲花组织近期依然保持活跃。其针对中国乃至东南亚多国用户发动攻击，通过投放带有恶意宏的文档和自解压程序最终传播海莲花组织的专用后门达成对目标的长期控制和信息窃取。从使用的后门武器和网络基础设施（其中部分后门则直接连接上了已知的海莲花组织的网络基础设施）的特性分析，相关证据都能表明这些样本来自海莲花攻击组织。

如我们此前在 “2018年网络威胁年报（预发布）”指出的一样，当前“通过分析曝光的方式迫使APT攻击组织行为收敛”的效果已经大打折扣，相关攻击方在C2基础设施地址已经暴露后，依然继续使用则是一个明证。这一方面可以使我们放弃简单的敲山震虎，就可以让敌人退避三舍的幻想；另一方面，也增加了一般化能力的高级威胁行为体，攻击行为的暴露面，为排查分析和进一步猎杀提供了一定的机会和条件。

责任编辑：韩希宇