OceanLotus sigue mejorando sus métodos de engaño
Análisis completo y detallado de las últimas técnicas implementadas por el grupo OceanLotus para distribuir backdoors y persistir sin dejar rastros.
Este artículo primero describirá cómo el grupo OceanLotus (también conocido como APT32 y APT-C-00) utilizó recientemente uno de los exploits disponibles públicamente para explotar el CVE-2017-11882; una vulnerabilidad de corrupción de memoria presente en el software Microsoft Office, y cómo el malware de OceanLotus logra persistencia en los sistemas comprometidos sin dejar ningún rastro. Luego, el artículo describe cómo desde principios de este 2019 el grupo ha estado aprovechando los archivos autoextraíbles para ejecutar el código.
Contexto
Seguir las actividades de OceanLotus es sinónimo de hacer un recorrido por el mundo del engaño. Este grupo es conocido por manipular a sus víctimas con documentos falsos y atractivos en su intento de atraer víctimas potenciales para ejecutar la puerta trasera del grupo, y continúa desarrollando nuevas ideas para diversificar sus herramientas. Las técnicas utilizadas para crear los señuelos provienen de archivos de doble extensión, archivos autoextraíbles y documentos con macros habilitadas para reutilizar exploits conocidos. Además de eso, son muy activos y continúan atacando incansablemente a sus víctimas favoritas: los países del sudeste asiático.
Resumen del exploit de Equation Editor
A mediados de 2018, OceanLotus realizó una campaña utilizando documentos que abusaban de la vulnerabilidad CVE-2017-11882, que reside en el componente responsable de representar y editar ecuaciones matemáticas. De hecho, varias Pruebas de Concepto comenzaron una circular. Uno de los documentos maliciosos utilizados por OceanLotus fue analizado por el 360 Threat Intelligence Center (en chino) e incluía detalles sobre el exploit. Echemos un vistazo a un documento similar.
primera fase
El documento "Informe FW sobre manifestación del ex CNRP en la República de Corea.doc" ( SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3 ) es similar al mencionado en el artículo anterior, y también es interesante porque realmente se dirige a personas interesadas en la política camboyana (El Partido Nacional de Rescate de Camboya, ─CNRP, por sus siglas en inglés─ es un partido político que se disolvió finales de 2017). A pesar de su extensión .doc, el documento en realidad está en formato RTF (consulte la Figura 1), con información basura y también tiene un formato mal formado..
Figura 1 – Campos basura del RTF
A pesar de la presencia de elementos con formato incorrecto, Word abre con éxito este archivo RTF. Como puede ver en la imagen (ver Figura 2), en el desplazamiento 0xC00 hay una estructura EQNOLEFILEHDR, seguida del encabezado MTEF y luego un registro MTEF (Figura 3) para una fuente.
Figura 2: valores de registro de FONT
Figura 3: formatos de registro FONT
Un desbordamiento en el campo “nombre” es posible deboto a que su tamaño no es revisado antes de ser copiado. Un nombre que es demasiado largo activa la vulnerabilidad. Como se ve en el contenido del archivo RTF (posición 0xC26 en la Figura 2), el búfer se completa con un shellcode seguido de una instrucción de secuencia NOP (0x90) y la dirección de retorno 0x402114. Esa dirección hace parte de EQNEDT32.exe apuntando a una instruccion RET Esto deriva en que el EIP apunte al inicio del número de campo que contiene el shellcode.
Figura 4 – Inicio del exploit de shellcode
La dirección 0x45BD3C almacena una variable sin referencia hasta que alcanza un puntero a la estructura actualmente cargada MTEFDatos. Aquí es donde se almacena el resto del código shell.
El propósito de esta parte del código es ejecutar una segunda pieza de shellcode incrustada dentro del documento abierto. Primero, el shellcode inicial intenta encontrar el controlador del documento abierto repitiendo todos los identificadores activos del sistema (NtQuerySystemInformationNtQuerySystemInformation con el argumento SystemExtendedHandleInformation) y revisando si el PID de los procesos coincide con el PID de un proceso WinWord, y si el documento fue abierto con la siguiente máscara de acceso: 0x12019F. Para confirmar que encontró el identificador correcto, el contenido del archivo se asigna con la función CreateFileMapping y el shellcode corrobora si los ultimos cuatro bytes del documento son "aaaa"; Esta técnica se llama "caza de huevos". Una vez que encuentra una coincidencia, el documento se copia en una carpeta temporal (GetTempPath) como ole.dll. Entonces se han leído los últimos 12 bytes del documento.
Figura 5 – Marcadores al final del documento
El valor de 32 bits entre marcadores AABBCCDD y aaaa representa el desplazamiento hasta la siguiente parte del shellcode. Se invoca mediante la función Crear hilo. El shellcode extraído es el mismo que el grupo OceanLotus ha estado utilizando durante algún tiempo. El script emulador de Python que publicamos en marzo de 2018 sigue funcionado para dumpear la siguiente fase.
segunda fase
Extrayendo los componentes
Los nombres de archivo y los directorios son elegidos de manera dinámica. El código selecciona aleatoriamente el número de archivo de un archivo ejecutable o DLL ubicado en C:Windowssistema32. Luego consultará sus recursos y extraerá el campo Descripción del archivo para usarlo como un nombre de carpeta. Si esto no funciona, el código elige aleatoriamente un número para la carpeta de los directorios %Archivos de programa% o C:Windows (desde GetWindowsDirectoryW). Evite usar un nombre que pueda entrar en conflicto con los archivos existentes al estar seguro de que no contenga: ventanas, Microsoft, escritorio, sistema, system32 o syswow64. Si el directorio existe, el número de directorio se agregará con "NLS_ {6 dígitos}".
El recurso 0x102 de la fase es parseado y los archivos son dropeados en una carpata elegida de manera aleatoria, ya sea en %Archivos de programa% a menudo %Datos de aplicación%. Los tiempos de creación se modifican para que tengan los mismos valores que kernel32.dll.
Por ejemplo, aquí hay una carpeta y una lista de archivos creados a partir de seleccionar los ejecutables C:Windowssystem32TCPSVCS.exe como fuente de datos.
Figura 6 – Extracción de los diferentes componentes
La estructura del recurso 0x102 en el cuentagotas es bastante compleja. En resumen, contiene:
- Números de archivo
- Tamaño y contenido de los archivos
- formato de compresión (COMPRESIÓN_FORMATO_LZNT1 usado por Función RtlDecompressBuffer)
El primer archivo es dropeado como TCPSVCS.exeque es de hecho el legito AcroTranscoder.exe de Adobe (según su Descripción del archivo, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
Probablemente haya notado que el tamaño de algunos archivos DLL supera los 11 MB. Esto es porque un buffer largo y contiguo de datos aleatorios se coloca dentro del ejecutable. Posiblemente esto sea una manera de evadir la detección de algunas soluciones de seguridad.
Logrando persistencia
El recurso 0x101 del cuentagotas contiene dos enteros de 32 bits que determinan cómo se implementará la persistencia. El valor del primero especifica cómo el malware logrará persistencia en un sistema sin privilegios de administración.
| Primer valor entero | mecanismo de persistencia |
|---|---|
| 0 | No alcances la persistencia |
| 1 | Tarea programada como usuario actual |
| 2 | (HKLM|HKCU)SOFTWAREMicrosoftWindowsCurrentVersionRun |
| 3 | Creación de un archivo de acceso directo (con extensión .lnk) en el subdirectorio MicrosoftWindowsMenú InicioProgramasInicio bajo una de las variables de entorno: %ALLUSERSPROFILE%, %APPDATA% o %USERPROFILE% |
El valor del segundo entero especifica de qué manera el malware debe intentar lograr la persistencia si corre con privilegios elevados.
| Segundo valor entero | Persistencia mecanismo |
|---|---|
| 1 | Tarea programada como administrador |
| 2 | Creación de un servicio |
El número del servicio es el número del archivo sin la extensión; el nombre que muestra es el nombre de la carpeta, pero si ya existe, entonces el string "Revisión 1se añade ” (se aumenta el número hasta encontrar un número que no se ha utilizado). Los operadores se aseguran que la persistencia a través del servicio resiliente: ante fallas del servicio será, el servicio debe reiniciar después de 1 segundo. Luego, el valor de registro WOW64 de la nueva clave de servicio se establece en 4, lo que indica que es un servicio de 32 bits.
La tarea programada se crea a través de varias interfaces COM: ITaskScheduler, ITask, ITaskTrigger, IPersistFile y Programador de tareas de TI. Esencialmente, el malware crea una tarea oculta, establece la información de la cuenta con el usuario real o el administrador de la información y establece la activación.
Esta es una tarea diaria con una duración de 24 horas y un intervalo entre dos ejecuciones establecido en 10 minutos, lo que significa que estará ejecutándose permanentemente.
El poco malicioso
En nuestro ejemplo, el ejecutable TCPSVCS.exe (AcroTranscoder.exe) es un software legítimo que carga de forma lateral las DLL que fueron caídas con él. En este caso, el interesante es Extensión de video Flash.dll.
Su función DLLPrincipal llamará a una sola función. Algunas variantes están obuscadas:
Figura 7 – Variables oscurecidas
Luego de estas revisiones engañosas, el código obtenga la sección .texto Delaware TCPSVCS.execambia su protección a PAGE_EXECUTE_READWRITE y lo sobrescriba con instrucciones de no realizar nada que no tenga efectos secundarios:
Figura 8 – Secuencia de instrucciones sin efectos secundarios
Finalmente, se agrega una instrucción. LLAMAR a la dirección de la función FLVCore::Desinicializar (vacío) exportado por Extensión de video Flash.dll. Esto quiere decir que, luego de cargar la DLL maliciosa, cuando se ejecuta el runtime llame a WinPrincipal es TCPSVCS.exeel puntero de instrucciones apuntará al trineo "NOP", que eventualmente llamará a la siguiente fase FLVCore::Desinicializar (vacío).
Esta función simplemente crea un mutex que comienza con {181C8480-A975-411C-AB0A-630DB8B0A221} seguido del nombre de usuario real. Luego, lea el archivo soltado con la extensión .db3, que contiene el código independientemente de la posición, y use Crear hilo para ejecutar su contenido.
El contenido del archivo .db3 es un código shell comúnmente utilizado por OceanLotus. Nuevamente, satisfactoriamente desampagemos su payload utilizando el script emulador que publicamos en GitHub.
El guion extrae la fase finale. Este componente es la puerta trasera que hemos analizado en este white paper: OceanLotus: viejas técnicas, nueva puerta trasera. Es reconocible como tal por el GUID {A96B020F-0000-466F-A96D-A91BBF8EAC96} que está presente en el binario. La configuración del malware sigue estando cifrada en un recurso PE. Contiene prácticamente la misma configuración, pero los servidores C&C son diferentes a los publicados hasta ahora:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
Una vez más, OceanLotus demuestra una gran combinación de técnicas para permanecer fuera del alcance del análisis. Regresaron con una versión mejorada del proceso de infección. Al elegir nombres aleatorios y llenar los ejecutables con datos aleatorios reduce el número de IoC confiables (basado en el hash y basado en el número de archivo). Además, dado que utilizan la técnica de carga lateral de DLL, los atacantes solo necesitan eliminar el archivo binario legítimo. AcroTranscodificador tal como es
Archivos autoextraibles
Después de usar archivos RTF, el grupo comenzó a usar archivos autoextraíbles (SFX, por sus siglas en inglés) que usan íconos de documentos comunes en un intento de engañar a sus víctimas. Esto fue documentado brevemente por Libro de amenazas (en chino). Cuando corren, estos archivos RAR autoextraíbles dropean y ejecutan archivos DLL (con una extensión .ocx) con el payload final siendo el previamente documentado {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. Desde mediados de enero de 2019, OceanLotus comenzó a reutilizar la técnica, pero con el tiempo cambiaron parte de la configuración. Esta sección describirá la técnica y lo que han alterado para lograr su objetivo.
Cayendo en la trampa
El documento THICH-TANGA-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (que significa “RELACIÓN FAVORITA DEL DESEMPEÑO VIETNAMITA”, según Google Translate, SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) se vio por primera vez en 2018. Este archivo SFX se diseñó de manera inteligente, ya que la descripción (información de la versión) indica que se trata de una "imagen JPEG". El guion del SFX es el siguiente:
Figura 9 – Comandos SFX
El malware dropea {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC) asi como la imagen 2018 thich tanga lac.jpg.
La imagen señuelo es la siguiente:
Figura 10 – Imagen señuelo
Probablemente haya notado que las dos primeras líneas en el script SFX invocan el archivo OCX dos veces, pero esto no es un error...
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
El control de flujo de los archivos OCX es muy similar a otros componentes de OceanLotus: hay muchas secuencias de instrucciones JZ/JNZ y PUSH/RET intercalados con código basura.
Figura 11 – Código ofuscado
Luego de filtrar el código trash, la exportação DllRegisterServer llamada por regsvr32.exe se ve de la siguiente manera:
Figura 12 – Código principal del instalador
Básicamente, la primera vez que es llamado el DllRegisterServer,establece el valor de registro HKCUSOFTWAREClasesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Modelo a un desplazione codificado en el DLL (0x10001DE0). La segunda vez que llama a la función, lo que hace es leer este mismo valor y ejecutar la función en la dirección. Desde ahí, el recurso es leído y ejecutado y muchas operaciones en memoria son ejecutadas.
El shellcode es el mismo cargador PE utilizado en las primeras campañas de OceanLotus. Puede ser emulado con nuestro script de emulation miasm. Por último, dropea db293b825dcc419ba7dc2c49fa2757ee.dllcarga en la memoria y ejecuta DllEntrada.
Esta DLL recupera el contenido de sus recursos, lo descifra (AES-256-CBC) y lo descomprime (LZMA). El recurso tiene un formato especifico al cual es bastente sencillo aplicarle inversia ingenieria.
Figura 13 – Estructura del instalador
La configuración es explícita: dependiendo del nivel de privilegios, los datos binarios se escribirán tanto a %appdata%IntellogsBackgroundUploadTask.cpl o %windir%System32BackgroundUploadTask.cpl (o SysWOW64 para sistemas de 64 bits). Luego, la persistencia es lograda mediate la creación de una tarea llamada FondoSubirTarea[junk].trabajo en la que [junk] es una colección de 0x9D y 0xA0 bytes
El número de aplicación de la tarea es %windir%System32control.exe y el valor del parámetro corresponde con la ruta del binario dumpeado. La tarea está programada para ejecutarse diariamente.
Estructuralmente, el archivo CPL es una DLL cuyo número interno es ac8e06de0a6c4483af9837d96504127e.dll que eso exporta una función CPlApplet. Este archivo descifra su único recurso {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dllluego carga la DLL y llama a su única exportación, DllEntrada.
Archivo de configuracion del backdoor
El backdoor presenta una configuración cifrada embebida en sus recursos. La estructura del archivo de configuración es bastante similar a la anterior.
Figura 14 – Estructura de la configuración del backdoor (KaitaiStruct Visualizer)
A pesar de la similitud en cuanto a estructura, en muchos de estos campos los valores han sido actualizados en comparación con los de nuestro white paper de Marcho de de 2018. El primer elemento del array de los binarios contiene una DLL (HttpProv.dll MD5: 2559738D1BD4A999126F900C7357B759) identificado por Tencent pero como el nombre de exportação ha sido eliminado del binario, los hashes no coinciden.
Yendo más allá
Durante la búsqueda de muestras, sobresalieron algunas características. La muestra analizada recientemente apareció alrededor de julio de 2018 y otras similares se descubrieron recientemente entre mediados de enero y finales de febrero de 2019. El vector de infección utilizado fue un archivo SFX que arrojaba un documento legítimo como señuelo y un archivo OCX malicioso.
Aunque OceanLotus utiliza marcas de tiempo falsas, se ha observado que la marca de tiempo de los archivos SFX y OCX es siempre la misma (0x57B0C36A (14/08/2016 a las 19:15 UTC) 0x498BE80F (06/02/2009 a las 7:34 a. m. UTC) respectivamente). Esto probablemente significa que tienen algún tipo de “constructor” que reutiliza las mismas plantillas y solo cambia algunas características.
Entre los documentos que analizamos desde principios de 2018, hemos visto diferentes números de documentos que insinúan una relación con diferentes países como objetivos de ataque.
- La nueva información de contacto de Camboya Media (Nuevo).xls.exe
- 李建香 (personal简历).exe (documento pdf falso de un CV)
- comentarios, rally en EE. UU. del 28 al 29 de julio de 2018.exe
Desde el descubrimiento de la puerta trasera {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll y la publicación de análisis por parte de múltiples investigaciones, hemos observado ciertos cambios en la configuración de los datos de los malware. Primero, los autores comenzaron a remover los nombres de los DLLs helper (DNSprov.dlly las dos versiones de HttpProv.dll). Luego, que los operadores abandonaron de empaquetar el tercer DLL (segunda versión de HttpProv.dll) y decidiron embeber solamente uno.
En segundo lugar, que muchos de los campos en la configuración de los backdoor han sido modificados, quizás para evitar la detección, ya que muchos IoC se hicieron públicos.
Los campos importantes que fueron modificados son los siguientes:
- Clave de registro "AppX" modificada (ver IoC)
- la codificación del string de mutex (“def”, “abc”, “ghi”)
- el numero de porto
Finalmente, todas las variantes nuevas que analizamos presentante nuevos servidores C&C, los cuales están listados en la sección IoCs.
Conclusión
OceanLotus es muy activo y sigue evolucionando. El grupo realente se focao en hacer cambios en su set de tools y señuelos. De manera inteligente esconden sus payloads en documentos atractivos basados en eventos actuales que tienen a resultar de interés para las víctimas que eligen. Continúan apareciendo con diferentes técnicas e incluso reutilizan y readaptan los códigos de explotación disponibles de manera pública como fue que se hicieron con la explotación de Equation Editor. Además, siguen mejorando sus técnicas para reducir el número de artefactos que dejan en los ordenadores de sus víctimas en un intento por reducir las posibilidades de detección por parte de los productos de seguridad. Otro punto interesante es que algunos nombres de dominio parecen haber sido extraídos de un diccionario. OceanLotus está haciendo un esfuerzo extra para condurar llevando adelante sus campañas, pero no entren en pánico...
Indicadores de compromiso (IoC)
Los IoC de esta publicación, así como los atributos de MITRE ATT&CK, también están disponibles en nuestro repositorio en GitHub.
Registrar claves/valores
- HKCUSOFTWAREClasesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Modelo
- [HKCU|HKLM]SOFTWAREAplicación
- AppXbf13d4ea2945444d8b13e2121cb6b663
- AppX70162486c7554f7f80f481985d67586d
- AppX37cc7fdccd644b4f85f4b22d5a3f105a
Mutexes:
- {181C8480-A975-411C-AB0A-630DB8B0A221}_ (+ nombre de usuario)
| Nombres de dominio |
|---|
| aliexpresscn[.]red |
| andreagahuvrauvin[.]com |
| andreagbridge[.]com |
| aol.straliaenollma[.]xyz |
| beaudrysang[.]xyz |
| becreybour[.]com |
| byronorenstein[.]com |
| puerto de china[.]organización |
| cristianol[.]xyz |
| cristianolmache[.]xyz |
| nube.360cn[.]información |
| dieordaunt[.]com |
| dns.chinanoticias[.]la red |
| illagedriveaustralia[.]xyz |
| karebelbecker[.]com |
| carolinablair[.]com |
| lauradesnoyers[.]com |
| ntop.dieordaunt[.]com |
| oficina.nuestrokekwiciver[.]com |
| nuestrokekwiciver[.]com |
| sophiahoule[.]com |
| stienollmache[.]xyz |
| straliaenollma[.]xyz |
| ursulapapst[.]xyz |
Archivo:
| Documentos que explotan CVE-2017-11882: |
|---|
| hashes SHA-1 |
| D1357B284C951470066AAA7A8228190B88A5C7C3 |
| 49DFF13500116B6C085C5CE3DE3C233C28669678 |
| 9DF3F0D8525EDF2B88C4A150134C7699A85A1508 |
| 50A755B30E8F3646F9476080F2C3AE1347F8F556 |
| BB060E5E7F7E946613A3497D58FBF026AE7C369A |
| E2D949CF06842B5F7AE6B2DFFAA49771A93A00D9 |
| Nombres de detección de ESET |
| Win32/Exploit.CVE-2017-11882.BU |
| Win32/Exploit.CVE-2017-11882.A |
| Win32/Exploit.Agente.KT |
| Win32/Exploit.Agent.LT |
| Win32/Exploit.CVE-2017-11882.EI |
| Archivos SFX y cuentagotas OCX: |
| hashes SHA-1 |
| AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB |
| 7642F2181CB189965C596964D2EDF8FE50DA742B |
| CD13210A142DA4BC02DA47455EB2CFE13F35804A |
| 377FDC842D4A721A103C32CE8CB4DAF50B49F303 |
| B4E6DDCD78884F64825FDF4710B35CDBEAABE8E2 |
| BD39591A02B4E403A25AAE502648264308085DED |
| B998F1B92ED6246DED13B79D069AA91C35637DEC |
| CC918F0DA51794F0174437D336E6F3EDFDD3CBE4 |
| 83D520E8C3FDAEFB5C8B180187B45C65590DB21A |
| EFAC23B0E6395B1178BCF7086F72344B24C04DCC |
| 8B991D4F2C108FD572C9C2059685FC574591E0BE |
| B744878E150A2C254C867BAD610778852C66D50A |
| 3DFC3D81572E16CEAAE3D07922255EB88068B91D |
| 77C42F66DADF5B579F6BCD0771030ADC7AEFA97C |
| Nombres de detección de ESET |
| Win32/Agente.ZUR |
Técnicas MITRE ATT&CK
| Táctica | IDENTIFICACIÓN | Nombre | Descripción |
|---|---|---|---|
| Acceso inicial | T1193 | Archivo adjunto de pesca submarina | Se envían documentos RTF engañosos y archivos autoextraíbles a posibles víctimas. |
| Ejecución | T1204 | Ejecución de usuario | El usuario debe ejecutar el archivo autoextraíble o abrir el documento RTF. |
| T1117 | Regsvr32 | Los archivos autoextraíbles se ejecutan regsvr32 para ejecutar la puerta trasera de OceanLotus. |
|
| T1035 | Ejecución del servicio | La segunda etapa del exploit intenta ejecutar la puerta trasera de OceanLotus como un servicio. | |
| Persistencia | T1050 | Nuevo servicio | La segunda etapa del exploit intenta lograr la persistencia mediante la creación de un servicio. |
| T1060 | Claves de ejecución del registro/carpeta de inicio | La segunda etapa del exploit intenta lograr la persistencia agregando un valor en la clave de registro Ejecutar. | |
| T1053 | Tarea programada | La segunda etapa del exploit intenta lograr la persistencia mediante la creación de una tarea programada. | |
| Evasión de defensa | T1009 | Relleno binario | La segunda etapa del exploit llena los ejecutables eliminados con datos aleatorios. |
| T1073 | Carga lateral de DLL | La puerta trasera de OceanLotus se carga lateralmente al soltar una biblioteca y un ejecutable legítimo firmado (AcroTranscoder). | |
| T1112 | Modificar registro | La puerta trasera de OceanLotus almacena su configuración en una clave de registro. | |
| T1027 | Archivos o información ofuscados | La segunda etapa del exploit deja caer un shellcode encriptado. | |
| T1099 | pisada de tiempo | El tiempo de creación de los archivos eliminados por la segunda etapa del exploit está configurado para que coincida el tiempo de creación de kernel32.dll. |
|
| Descubrimiento | T1083 | Descubrimiento de archivos y directorios | La puerta trasera de OceanLotus puede listar archivos y directorios. |
| T1012 | Registro de consultas | La puerta trasera de OceanLotus puede consultar el Registro de Windows para recopilar información del sistema. | |
| T1082 | Descubrimiento de información del sistema | La puerta trasera de OceanLotus captura la información del sistema y la envía a su servidor C&C. | |
| exfiltración | T1002 | Datos comprimidos | La puerta trasera de OceanLotus usa compresión LZMA antes de la exfiltración. |
| T1022 | Datos encriptados | La puerta trasera de OceanLotus usa encriptación RC4 antes de la exfiltración. | |
| T1041 | Exfiltración a través del canal de comando y control | La exfiltración de datos se realiza utilizando el canal ya abierto con el servidor C&C | |
| T1203 | Explotación para la ejecución del cliente | El documento RTF incluye un exploit para ejecutar código malicioso. (CVE‑2017‑11882) | |
| Comando y control | T1094 | Protocolo de comando y control personalizado | La puerta trasera de OceanLotus puede filtrar datos codificándolos en el campo de subdominio de los paquetes DNS. |
| T1065 | Puerto de uso poco común | La puerta trasera de OceanLotus usa HTTP sobre un puerto TCP poco común (14146). El puerto se especifica en la configuración de puerta trasera. |
Deja una respuesta