关于海莲花组织针对移动设备攻击的分析报告
海莲花是什么?
"海莲花"(又名APT-TOCS、APT32、OceanLotus),被认为是来自中南半岛某国的APT攻击组织,自2012年活跃以来,一直针对中国的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动的最活跃的APT攻击组织之一。
安天及其他安全厂商在之前已经发布过多份关于海莲花的分析报告,报告的内容主要集中在PC端,攻击手段往往以鱼叉攻击和钓鱼攻击为主,移动端的攻击并不多见。然而,随着移动互联网的发展,一方面人们的手机逐渐出现两用性,除了包含使用者的个人隐私外,也往往会带有其社会属性,另一方面,智能手机的无线通信可以绕过内部安全监管设备,故而针对移动端的攻击也成为了整个攻击链条中的重要一环。下面,安天移动安全以发生于我国的一起移动端攻击事件为蓝本进行具体分析说明。
具体分析
表1. 典型样本基本信息
该应用伪装正常应用,在运行后隐藏图标,并于后台释放恶意子包并接收远程控制指令,窃取用户短信、联系人、通话记录、地理位置、浏览器记录等隐私信息,私自下载apk、拍照、录音,并将用户隐私上传至服务器,造成用户隐私泄露。中国菜刀
样本分析
该应用启动后会打开LicenseService服务:
该服务会开启f线程用于注册和释放间谍子包:
注册url:http://ckoen.dmkatti.com
动态加载间谍子包:
子包分析
主包反射调用com.android.preferences.AndroidR类的Execute方法:
首先建立socket连接:
socket地址:mtk.baimind.com
通过与手机建立通讯,发送控制指令和上传短信、联系人、通话记录、地理位置、浏览器记录等部分隐私信息。天空彩
此外该间谍子包还建立了https通讯,用于上传录音、截图、文档、相片、视频等大文件。
https地址:https://jang.goongnam.com/resource/request.php,目前已经失活, 该C2属于海莲花组织资产。二四六
表2. CC所在位置及作用
如下图所示:首先,签名Subject中包含HackingTeam、Christian Pozz(Hacking Team中一个管理员的名字)字样;其次,代码中的注册功能,可以认定是对外出售的商业间谍软件;最后,根据后期Hacking Team泄漏资料来看,海莲花组织所属国家亦在其客户名单之中。
拓展分析
根据注册CC的同源性,我们查找到如下样本:
表3. 通过CC检索到的同源样本
与我们分析的样本不同,以上样本有了明显的功能改进,增加了提权功能,以45AE1CB1596E538220CA99B29816304F为例,对其assets目录名为dataOff.db的文件进行解密,解密之后的文件中带有提权配置文件,如下所示:
由此可见,在代码泄漏后HackingTeam组织的CEO表示“泄漏的代码只是很小一部分”的言论是有依据的,这也从侧面反映出网络军火商在一定程度上降低了APT攻击的门槛,使得网络攻击出现更多的不确定性。
同时我们也注意到,该系列恶意代码有通过国内第三方应用市场和文件共享网站进行的投递。
表4. 样本分发链接
总结
海莲花组织总是在演进变化,不断地通过更新其攻击手法和武器库以达到绕过安全软件防御的目的。除了武器库的不断更新,该组织也相当熟悉中国的情况,包括政策、使用习惯等。这不仅迷惑了相关人员,增加了其攻击成功率,同时也可能给目标受害群体带来不可估量的损失。因此对于个人来讲,要切实提高网络安全意识,不要被网络钓鱼信息所蒙蔽;对于安全厂商来讲,更需要对其加深了解并持续进行针对性的对抗,提升安全防护能力,真正为用户侧的移动安全保驾护航。
附录(IOC)
· 5079CB166DF41233A1017D5E0150C17A
· F29DFFD9817F7FDA040C9608C14351D3
· 0E7C2ADDA3BC65242A365EF72B91F3A8
· C630AB7B51F0C0FA38A4A0F45C793E24
· CE5BAE8714DDFCA9EB3BB24EE60F042D
· BF1CA2DAB5DF0546AACC02ABF40C2F19
· D1EB52EF6C2445C848157BEABA54044F
· 45AE1CB1596E538220CA99B29816304F
· 50BFD62721B4F3813C2D20B59642F022
· 86c5495b048878ec903e6250600ec308
· 780a7f9446f62dd23b87b59b67624887
· DABF05376C4EF5C1386EA8CECF3ACD5B
· 86C5495B048878EC903E6250600EC308
· F29DFFD9817F7FDA040C9608C14351D3
· C83F5589DFDFB07B8B7966202188DEE5
· 229A39860D1EBEAFC0E1CEF5880605FA
· A9C4232B34836337A7168A90261DA410
· 877138E47A77E20BFFB058E8F94FAF1E
· 5079CB166DF41233A1017D5E0150C17A
· 2E780E2FF20A28D4248582F11D245D78
· 0E7C2ADDA3BC65242A365EF72B91F3A8
· 315F8E3DA94920248676B095786E26AD
· D1EB52EF6C2445C848157BEABA54044F
· DABF05376C4EF5C1386EA8CECF3ACD5B
· AD32E5198C33AA5A7E4AEF97B7A7C09E
· DF2E4CE8CC68C86B92D0D02E44315CC1
· C20FA2C10B8C8161AB8FA21A2ED6272D
· 55E5B710099713F632BFD8E6EB0F496C
· CF5774F6CA603A748B4C5CC0F76A2FD5
· 66983EFC87066CD920C1539AF083D923
· 69232889A2092B5C0D9A584767AF0333
· C6FE1B2D9C2DF19DA0A132B5B9D9A011
· CE5BAE8714DDFCA9EB3BB24EE60F042D
· 50BFD62721B4F3813C2D20B59642F022
· C630AB7B51F0C0FA38A4A0F45C793E24
· 810EF71BB52EA5C3CFE58B8E003520DC
· BF1CA2DAB5DF0546AACC02ABF40C2F19
· 45AE1CB1596E538220CA99B29816304F
· 5AF0127A5E97FB4F111ECBA2BE1114FA
· 74646DF14970FF356F33978A6B7FD59D
· DF845B9CAE7C396CDE34C5D0C764360A
· C20FA2C10B8C8161AB8FA21A2ED6272D
· 641F0CC057E2AB43F5444C5547E80976
致谢
感谢奇安信红雨滴团队(原360企业安全威胁情报小组)对于因sinkhole造成的域名归因疏漏的热心指正。