「海蓮花」組織攻擊來襲啟明星辰IPS精確阻擊

最新 07-20

海蓮花（OceanLotus、APT32）是一個主要針對我國發起APT攻擊的黑客組織。自2014年發起高強度攻擊以來，該組織的攻擊活動呈現愈演愈烈的趨勢，其不斷更新的攻擊手法及變種木馬就是最好的證明。啟明星辰金睛團隊上月初發布過海蓮花組織一種新型攻擊的事件分析，最近，啟明星辰IPS產品及安全團隊又為客戶立了一功，成功發現並阻止了已存在數天的蓮花組織的變種攻擊。

該客戶新部署了天清入侵防禦系統（簡稱天清NGIPS），在上線後的例行巡檢時，客戶管理員就發現了大量攻擊報警，如圖：

報警的事件名稱為「DNS_後門_Win32.Denis_連接」，源IP是客戶內網的一台重要伺服器，其頻繁向一個境外IP發送異常DNS請求。根據IPS報警事件描述，Denis是一個功能強大的後門，通過DNS協議與其C&C控制端通信，也是海蓮花組織的專用後門程序之一。雖然該攻擊已被IPS實時阻斷，但頻繁的攻擊報警表明，發生事件的伺服器應該已被植入了Denis木馬。該問題引起了客戶的高度關注，隨即聯繫啟明星辰政府大客戶安全服務團隊進行現場支持。

安全團隊到達現場後，根據IPS的報警信息進行了異常伺服器主機的排查工作，通過對主機流量、進程、內存等深入分析，確認該伺服器確實被植入了Denis木馬，並發現該伺服器上的惡意js腳本已經被刪除，通過系統時間戳判斷，該木馬已被植入數日，直到最近被新上線的啟明星辰IPS發現。以下是具體的分析過程。

分析過程

一、在異常伺服器上使用流量監控工具，發現了svchost程序頻繁向外發送DNS請求。

而此特徵與海蓮花Denis變種的特徵幾乎一致。該家族以往的數據加密方式如下：首先對受害者機器名進行unicode編碼，再使用字元替換的方法生成新的字元串[具體為0---->g,1---->h,2---->i,3---->j,4---->k, 5---->l,6---->m,7---->n,8---->o,9---->p]，隨後與其他固定字元串及C&C域名進行拼接，最終生成類似的DNS請求。

經過同樣的方式解密，發現解密的數據確實為該感染主機的主機名，因此可以確認這是海蓮花新變種的一次成功攻擊。

而根據以往經驗，此次發包行為很有可能僅為了獲取後續真實的發包地址。

二、除發現svchost進程在進行異常操作外，wscript.exe也在持續運行，通過查看該程序所調用的命令行，發現其執行過一個名為Nodejs.js的腳本，而該js文件已被刪除。