海莲花白加黑利用升级分析( 200628)

背景

海莲花（英语：Ocean Lotus）组织自2012年4月开始攻击中国的海事机构、海域建设部门、科研院所和航运企业，据媒体报道称这是一个有国外政府支持的APT行动。

海莲花的攻击途径为使用木马病毒攻陷、控制政府人员、外包商及行业专家等目标人群的电脑，从中窃取受害者电脑中的机密数据，截获受害电脑与外界传递的情报，甚至操纵该电脑自动发送相关情报。而这一攻击方式有“鱼叉攻击”和“水坑攻击”两种。该黑客组织在2014年5月22日2014年乌鲁木齐公园北街早市暴力恐怖袭击案发生后，发送名为“新疆暴恐事件最新通报”的电子邮件及附件，引诱目标人群中招。另外，鱼叉邮件还会使用“公务员工资调整”为诱饵，增加受害者的上当几率。

海莲花组织最常使用的手段是白加黑利用，根据已有的样本进行分析汇总，已知的利用白文件涉及苹果、google、360、酷狗、wps、腾讯等多家公司约26种组合，本次使用的苹果更新文件白加黑利用是首次在野捕获，使用的诱饵文件名关联到“东盟峰会”。

第一阶段

一个压缩包自解压程序，内置SFX脚本用于释放后自动执行：

第二阶段

白加白加黑技术，首先使用exe加载同路径下SoftwareUpdateFiles.dll，然后该DLL加载”SoftwareUpdateFiles.Resources\en.lproj”路径下的黑SoftwareUpdateFilesLocalized.dll，实现白加白加黑，调用栈如下：

第三阶段

本体为SoftwareUpdateFilesLocalized.dll， 一个简单的解密器，在DLLMain中进入然后执行主要功能。

主要功能代码特征：

Patch 白DLL 从 2F53开始位置的函数

Patch exe从F64C开始的函数

最终实现从上图0x40f652位置重新获得控制权，然后获取exe同路径下的locale文件进行解密操作，解密成功后是一个shellcode，直接执行：

第四阶段

上面解密出来的shellcode，入口特征是常见的解密方式

解密诱解密诱饵文档并打开一个仅含角标的空文档：

内存解文档的一些元数据：

内存解密另一个PE程序

第五阶段

Denis

内置硬编码CC

关联分析