1、概述
安天CERT（安全研讨与应急处理中心）在2019年12月至今，捕获多例针对我国用户的歹意宏文档进犯样本。这些歹意文档通过在含糊的文字布景上伪装出杀毒软件的安全检测成果，诱导受害者启用歹意宏代码，向Word进程本身注入Shellcode，终究在内存中解密和运转后门程序。依据对该后门的深入剖析，咱们发现该样本来自海莲花[1]安排。安天于2019年5月27日发布关于该安排的剖析陈述[1]引发业界对该安排的继续重视。鉴于安天在其时所捕获的进犯中，发现了进犯方运用了商用进犯渠道Cobalt Strike，安天将其命名为APT-TOCS（即凭借CS渠道的APT进犯安排），但由于运用CS仅仅该进犯安排的一个特色，且缺少安排命名的地缘特色，因而，咱们后续选用了友商360的命名——“海莲花”。本次发现样本与2019年12月ESET[2]曝光过的海莲花专用后门极为类似，而通过对后门样本的C2进行相关，咱们发现了更多通过歹意自解压程序传达该后门的样本。其间部分样本针对我国，更多的样本则针对柬埔寨等多国。部分自解压样本传达的后门，其C2直接衔接到了已知的海莲花安排的 *** 基础设施。依据专用后门和 *** 基础设施这两方面的强相关性，咱们有理由信任这些样本相关的进犯举动是海莲花APT安排所为。
2、样本剖析
2.1、样本标签
相关进犯载荷均为Word文档，但并未运用缝隙。而是在其间嵌入歹意宏代码，通过宏代码触发后续歹意行为，终究向方针主机植入后门，这是一个阶段以来较为盛行的 *** 。进犯者为使受害方针启用宏代码，在文档正文中通过一段欺骗性内容诱导用户点击“启用内容”然后触发歹意宏代码履行，咱们从这批样本中罗列其间两个的情报标签：
表 2‑1歹意文档1

表 2‑2 歹意文档2

2.2、技能剖析
相关文档样本选用了社会工程技巧，伪装出360杀软的安全检测成果，诱导受害者启用顺便的歹意宏，其正文内容见图2-1、图2-2所示。

图2-1 歹意文档1截图

图2-2 歹意文档2截图
歹意样本中包括被混杂的vb脚本，解混杂后发现此脚本作用为：
1.仿制当时文件到%temp%文件夹下。
2.获取并解密第二段脚本，企图写入注册表（"HKEY_CURRENT_USERSoftwareMicrosoftOffice14.0WordSecurityAccessVBOM"）。此注册表值为1时，答应对文档的vb模块进行拜访和修正，如下图所示：

图2-3 读取并修正注册表
3.翻开%temp%下已仿制的文档，移除文档中已存在的vb模块，写入新模块（图2-4）：

图2-4 修正已仿制文件
4.翻开已仿制文档调用vb模块中的“x_N0th1ngH3r3”函数如下图所示，之后，歹意文档显现一个虚伪音讯，如图2-5、图2-6所示：

图2-5 调用vb函数

图2-6 虚伪音讯显现
第二段脚本与榜首段脚本有颇多类似之处，解密第三段脚本，然后其通过设置注册表，取得对本身vb资源修正的才能，并在文档本身中参加第三段脚本：

图2-7 第二段脚本主要功能（脚本已反混杂）
第三段脚本解密出shellcode，并将其注入到winword.exe进程中。脚本进口函数依然命名为“x_N0th1ngH3r3”，此函数会区别64位或32位进程，选用恰当 *** 进行进程注入：

图2-8 64位进程注入的前期预备

图2-9 32位进程注入的前期预备
注入进程的代码有908 KB (929,792 字节)，通过深入剖析发现，这段注入的代码会引导运转终究的后门程序，该后门已于2019年12月被ESET曝光，为海莲花安排所开发运用[2]。
后门程序的原始名称为“{A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll”，见下图：

[1] [2] [3]  黑客接单网