OceanLotus组织的最新下载软件:KerrDown
字数 1730 2025-08-06 08:35:35

OceanLotus组织及其KerrDown恶意软件分析教学文档

一、OceanLotus组织概述

OceanLotus(又名APT32)是一个来自东南亚的高级持续性威胁(APT)组织,具有极高的攻击能力。该组织主要活跃于亚太地区,特别是针对越南目标。

主要特征:

  • 攻击能力极强,持续更新工具和技术
  • 主要针对亚太地区目标
  • 使用多种传播方式和恶意软件
  • 工作模式显示为正规组织(工作日9:00-18:00工作)

二、KerrDown恶意软件分析

1. 基本介绍

KerrDown是OceanLotus组织自2018年初开始使用的一款自定义下载器恶意软件,主要用于下载并执行Cobalt Strike Beacon变种。

2. 传播方式

KerrDown通过两种主要方式传播:

a) 恶意Microsoft Office文档

  • 包含恶意宏的文档
  • 要求受害者启用宏以查看"内容"
  • 文档中包含两段base64编码的数据(字体大小为1以逃避检测)
    • 64位系统解码左侧数据
    • 32位系统解码右侧数据

b) 包含合法DLL的RAR压缩包

  • 文件名使用越南语(如"Don khieu nai.rar"意为"投诉信")
  • 包含旧版Microsoft Word 2007可执行文件
  • 加载恶意DLL执行多层shellcode

3. 技术细节分析

恶意文档技术:

  • 使用Motobit发布的VBS base64解码功能
  • 解码后的PE文件具有标准MZ头
  • 根据操作系统架构选择不同payload
  • 解码后的DLL命名为"main_background.png",存储在User\Administrator\AppData\Roaming目录

RAR文件技术:

  1. Microsoft Word exe加载同目录的wwlib.dll并执行"FMain"功能
  2. DLL用base64解码第一段shellcode
  3. 第一段shellcode用UCL解压第二段shellcode
  4. 第二段shellcode用AES解密第三段shellcode
  5. 第三段shellcode从C2服务器检索并执行第四段shellcode
  6. 第四段shellcode加载并执行内存中的Cobalt Strike Beacon DLL

4. 网络通信

  • 使用DES算法对URL进行内存解密
  • 连接C2服务器下载Cobalt Strike Beacon
  • 使用多个C2域名,包括:
    • theme[[.]]blogsite[.]org
    • cortana[.]homelinux[.]com
    • word[.]webhop[.]info
    • work[.]windownoffice[.]com
    • cortanasyn[.]com
    • 等(完整列表见IOC部分)

三、分析方法

1. Jaccard-index算法应用

  • 用于快速找到与KerrDown相似的数据集
  • 通过imphash值和C2域名关联样本
  • 使用networkx可视化分析结果
  • 发现KerrDown与已知OceanLotus恶意软件无直接相似性,确认为新工具

2. 时间分析

  • 样本编译时间戳分析显示:
    • 工作日(周一至周五)编译
    • 工作时间集中在9:00-18:00
    • 自2018年3月持续使用

四、防御建议

  1. 宏安全

    • 禁用Office宏或设置为高安全级别
    • 教育用户不要启用不明文档的宏

  2. 文件检测

    • 监控AppData\Roaming目录异常文件
    • 警惕包含可执行文件的压缩包

  3. 网络防护

    • 拦截已知C2域名
    • 监控异常DES加密通信

  4. 行为检测

    • 关注多层shellcode执行行为
    • 监控内存加载DLL行为

  5. 更新管理

    • 保持软件更新,避免使用旧版软件

五、IOC(入侵指标)

文档哈希(SHA256):

73dcbcc47d6bd95dcf031ebbd34ac42301a20ee1143ac130b405e79b4ba40fc8
89e19df797481ae2d2c895bcf030fe19e581976d2aef90c89bd6b3408579bfc3
a4a066341b4172d2cb752de4b938bf678ceb627ecb72594730b78bd05a2fad9d
8bf22202e4fd4c005afde2266413cba9d1b749b1a2d75deac0c35728b5eb3af8
df8210d20c5eb80d44ba8fa4c41c26c8421dcb20168e4f796e4955e01ebc9e13
94fab926b73a6a5bc71d655c8d611b40e80464da9f1134bfce7b930e23e273ab
4321a9f95901a77b4acfbaef3596cf681712345e1cbd764873c6643fe9da7331

RAR文件哈希(SHA256):

040abac56542a2e0f384adf37c8f95b2b6e6ce3a0ff969e3c1d572e6b4053ff3

KerrDown DLLs哈希(SHA256):

4a0309d8043e8acd7cb5c7cfca95223afe9c15a1c34578643b49ded4b786506b
4b431af677041dae3c988fcc901ac8ec6e74c6e1467787bf099c4abd658be5be
...(完整列表见原文)

C2域名:

theme[[.]]blogsite[.]org
cortana[.]homelinux[.]com
word[.]webhop[.]info
work[.]windownoffice[.]com
cortanasyn[.]com
e[.]browsersyn[.]com
syn[.]servebbs[.]com
service[.]windown-update[.]com
check[.]homeip[.]net
outlook[.]updateoffices[.]net
mail[.]fptservice[.]net
office[.]windown-update[.]com
cortanazone[.]com
beta[.]officopedia[.]com
videos[.]dyndns[.]org
service[.]serveftp[.]org
syn[.]browserstime[.]com
check[.]webhop[.]org
ristineho[.]com

六、总结

OceanLotus组织通过不断更新工具(如KerrDown)和技术保持攻击有效性。防御者需要:

  1. 了解其TTPs(战术、技术和程序)
  2. 部署多层防御措施
  3. 持续监控相关IOC
  4. 分析攻击模式(如工作时间特征)

通过全面了解攻击者的工具和方法,可以更有效地防御此类高级威胁。

OceanLotus组织及其KerrDown恶意软件分析教学文档 一、OceanLotus组织概述 OceanLotus(又名APT32)是一个来自东南亚的高级持续性威胁(APT)组织,具有极高的攻击能力。该组织主要活跃于亚太地区,特别是针对越南目标。 主要特征: 攻击能力极强,持续更新工具和技术 主要针对亚太地区目标 使用多种传播方式和恶意软件 工作模式显示为正规组织(工作日9:00-18:00工作) 二、KerrDown恶意软件分析 1. 基本介绍 KerrDown是OceanLotus组织自2018年初开始使用的一款自定义下载器恶意软件,主要用于下载并执行Cobalt Strike Beacon变种。 2. 传播方式 KerrDown通过两种主要方式传播: a) 恶意Microsoft Office文档 包含恶意宏的文档 要求受害者启用宏以查看"内容" 文档中包含两段base64编码的数据(字体大小为1以逃避检测) 64位系统解码左侧数据 32位系统解码右侧数据 b) 包含合法DLL的RAR压缩包 文件名使用越南语(如"Don khieu nai.rar"意为"投诉信") 包含旧版Microsoft Word 2007可执行文件 加载恶意DLL执行多层shellcode 3. 技术细节分析 恶意文档技术: 使用Motobit发布的VBS base64解码功能 解码后的PE文件具有标准MZ头 根据操作系统架构选择不同payload 解码后的DLL命名为"main_ background.png",存储在 User\Administrator\AppData\Roaming 目录 RAR文件技术: Microsoft Word exe加载同目录的wwlib.dll并执行"FMain"功能 DLL用base64解码第一段shellcode 第一段shellcode用UCL解压第二段shellcode 第二段shellcode用AES解密第三段shellcode 第三段shellcode从C2服务器检索并执行第四段shellcode 第四段shellcode加载并执行内存中的Cobalt Strike Beacon DLL 4. 网络通信 使用DES算法对URL进行内存解密 连接C2服务器下载Cobalt Strike Beacon 使用多个C2域名,包括: theme[ [ .]]blogsite[ . ]org cortana[ .]homelinux[ . ]com word[ .]webhop[ . ]info work[ .]windownoffice[ . ]com cortanasyn[ . ]com 等(完整列表见IOC部分) 三、分析方法 1. Jaccard-index算法应用 用于快速找到与KerrDown相似的数据集 通过imphash值和C2域名关联样本 使用networkx可视化分析结果 发现KerrDown与已知OceanLotus恶意软件无直接相似性,确认为新工具 2. 时间分析 样本编译时间戳分析显示: 工作日(周一至周五)编译 工作时间集中在9:00-18:00 自2018年3月持续使用 四、防御建议 宏安全 : 禁用Office宏或设置为高安全级别 教育用户不要启用不明文档的宏 文件检测 : 监控 AppData\Roaming 目录异常文件 警惕包含可执行文件的压缩包 网络防护 : 拦截已知C2域名 监控异常DES加密通信 行为检测 : 关注多层shellcode执行行为 监控内存加载DLL行为 更新管理 : 保持软件更新,避免使用旧版软件 五、IOC(入侵指标) 文档哈希(SHA256): RAR文件哈希(SHA256): KerrDown DLLs哈希(SHA256): C2域名: 六、总结 OceanLotus组织通过不断更新工具(如KerrDown)和技术保持攻击有效性。防御者需要: 了解其TTPs(战术、技术和程序) 部署多层防御措施 持续监控相关IOC 分析攻击模式(如工作时间特征) 通过全面了解攻击者的工具和方法,可以更有效地防御此类高级威胁。