Operation（Giỗ Tổ Hùng Vương）hurricane：浅谈新海莲花组织在内存中的技战术

本文仅作为安全研究，我们不关注初始样本载荷，主要披露新海莲花组织内存插件和间谍目的，天擎EDR可以在内存中精准告警新海莲花组织所有内存插件，我们建议政企客户启用云查功能来发现未知威胁。

新海莲花组织在 2022-2023 年所使用的 Cobalt Strike 有一个非常明显的特征：

木马运行后会自动将当前的屏幕截图保存为 PNG 格式并发送到 C2 服务器上，如果恰好此时攻击者正处于 RDP 的状态，那么就能在受害者机器上得到一张攻击者双击木马程序的照片：

Cobalt Strike 注入到系统进程后会在当前进程中内存加载 Rust 特马并回连新的 C2，Rust 特马的分析友商已经有过分析，故不再赘述。接着通过 Process Hollowing 的方式将文件目录收集插件注入到系统进程中。

该插件为 20 KB大小的 Shellcode，首先会获取 Temp 路径，并生成一个 UUID 与路径拼接作为中间文件。

接着会遍历文件，收集受害设备上的指定后缀文件，并将结果与 0xF1 异或后写入文件。

解密后的文件格式如下，会收集文件名和该文件的创建、修改、访问时间。

收集的指定后缀如下：pdf、png、jpg、ppt、pptx、one、ini、pfx、config、xmind、conf、ofd、7z、wpt。

写入完毕后会重新读取该文件到内存中，并删除该文件

将读取到的内容重新与 0xF1 解密后，重新进行加密。

加密算法为 128 位 AES 算法。

最后将加密的内容再与 0xF2 异或后写入文件 C:\Programdata\SogouInput.xml中。

攻击者会在后端对 xml 文件进行分析，最终挑选出窃取的目标文件，窃取完文档后攻击者如果选择进一步横向移动，一般会通过 Process Hollowing 的方式将管道特马注入到系统进程中。

该管道特马所在的内存块固定大小 0x35000，创建名为 \\.\pipe\InitStarts 的管道循环监听。

读取管道中的数据：

通信过程中定义了一个结构体，创建线程并将结构体当作参数传入。

该线程会持续读取管道中的数据，并将数据解密后传递给工作线程，同时获取工作线程执行后的数据再解密传输到管道中。

加密算法如下：

工作线程中有大量的功能性函数，例如：文件管理、shellcode加载、命令执行等。

我们观察到新海莲花组织通过管道内存加载了 ssh 登录插件。

该插件功能就是通过内置的账密登录内网 linux 服务器：

密码为弱口令，可以推测攻击者是通过爆破的方式获取到服务器密码

通过 history 日志可以确认攻击者在浏览服务器上的目录并打包数据。

新海莲花组织在入侵边界服务器时如：web服务器、防火墙等设备会使用一款 Win | linux 双平台的特马，该特马最早在防火墙上被发现，很长一段时间内我们认为该特马只在边界服务器上部署，但是在一次对抗的过程中发现该特马被注入到 Windows的系统进程中，并且注入时间离 Cobalt Strike 的植入时间晚一周。

新海莲花组织通过该特马执行 CMD 命令，添加根证书 “certutil -addstore "ROOT" client.cer”，添加完成后选择在磁盘落地 DLL，此时的 DLL 带有数字签名，用于免杀 EDR。

新海莲花组织似乎是为数不多能够分清楚360安全卫士和天擎EDR两款杀软的APT组织，在此之前很多APT组织都认为只要能够免杀360安全卫士就能够绕过天擎EDR。新海莲花刚开始活动时使用了两种新方法分别针对360安全卫士和天擎EDR，但是很快被我们和友商发现并及时进行对抗。释放名为 propsys.dll，判断加载该 DLL 的进程是否为 360baobiao.exe

DLL 的主要功能通过 DeviceIOCtontol 关闭自保。

之后休眠 zhudongfangyu.exe 和 360rps.exe 进程，实现致盲的效果。