概述

“海莲花”，又名APT32和OceanLotus，是越南背景的黑客组织。该组织至少自2012年开始活跃，长期针对中国能源相业、海事机构、边防机构、卫生部门、海域建设部门、科研院所和航运企业等进行网络攻击。除中国外，“海莲花”的目标还包含全球的政府、军事机构和大型企业，以及本国的媒体、人权和公民社会等相关的组织和个人。 在历史攻击手法中，APT32一直在尝试不同方法以实现在目标系统上执行恶意代码和绕过安全检测。在2021年3月份，由国内安全厂商首次披露APT32的“双头龙”后门，揭开了APT32在Linux平台的作战能力。 在微步情报局长期对APT32的研究与对抗中，发现“双头龙”后门只是APT32作战武器中的冰山一角，在21年，微步情报局捕获到了APT32另一未公开的Linux后门，并且在威胁狩猎系统的持续监控下发现近期又再度开始活跃。

详情

微步情报局在21年调查APT32资产的过程中，发现APT32另外一款未被披露的Linux后门，后门设计思路与APT32的“双头龙”和MacOS后门较为相似。这一款后门同样具备结构化流量，在单一进程实例、信息收集、C2编码等技术特点和“双头龙“几乎一致，但指令类型有所不同，并且流量加密方式较为简单，分析人员在后门信息收集中使用到命令“/dev/disk/by-uuid/”和“cat /etc/*release | uniq”中摘取By和uniq两个单词的前缀，将其命名为Buni。 起初分析师以为Buni是“双头龙“的前身，但在近期中发现这一款Linux后门再度活跃，Buni后门中硬编码的C2利用了一些失陷IoT设备，并且其控制的主机数量较多，Buni历史样本文件中的硬编码C2使用了长达2年半之久，截止至2022年，Buni部分样本在VT平台保持了整整两年的0杀软检测效果。

样本特点

1. 释放方式

a) Buni由安装程序和Core两部分构成，安装程序负责释放Core和维持权限两部分操作，执行完后会被删除，在观测到的安装程序中使用了“crontab”维持权限的方式。 

b) 沙箱进程关系，如下图所示 

2. 单一进程实例

[出自:jiwo.org]

Buni通过文件锁定实现单一进程实例，在root和非root权限会有两种不同的路径，分别为“/tmp/.etxh”和“/tmp/.edv”。 代码层如下所示

 

3. 进程伪装

Buni通过随机函数产生6-12的随机长度字符串，调用prctl函数设置随机进程名称，伪装成系统进程。

 

4. C2编码方式

C2字符串硬编码存放在.data段中，在后门加载后和0xB1字节异或解密。

 

5. 信息收集

Buni通过各类系统命令收集系统的基本信息，包括：CPU架构、进程PID、用户名、主机名、网卡信息等，此外，在生成的数据包中还携带了各种常量，最终将各类信息拼接形成一个数组格式的数据包，可以通过JSON解析。 具体调用的函数\命令，如下所示 

a) uname

   

b) cat /etc/*release | uniq & cat /etc/issue

   

c) gethostname

   

d) sysinfo  

e) 获取各类信息构成的数据，会在上线请求时一并被发送，格式化后的数据如下：

 

6. 结构化流量

a) Buni拥有其自定义的通信协议，通信数据包具有一定的结构，数据在构造后经过XOR加密，部分命令会存在附加数据，附加数据部分通过GZIP方式压缩，其流量结构如下：

   

b) 类C结构表示如下：

   

c) 在代码中则是通过逐字节recv接收的方式解析成流量结构

 

7. 指令分发&响应

a) 指令解析和响应包的构造在同一个函数中所实现，在接收到服务端发送的数据包后逐字节解析后被传入该函数，对解析得到的指令类型执行对应的操作。

   

b) 在指令分发执行完成后，会构造相同类型数据包进行应答，在响应包中会携带执行结果与错误号。

   

c) 具体支持的指令类型，如下所示

 

总结

APT32的作战武器覆盖Windows、Linux、MacOS多平台，纵观Linux和MacOS平台中的作战工具同源程度，这必然是属于同一公司所开发的工具，在同一源码上不停的分化迭代，形成了各种针对多架构、多平台、多操作系统的不同类型作战武器。