APT-C-00（海莲花）双重加载器及同源VMP加载器分析

 样本分析 

1. 双重加载器

• 模块1   

该模块是一个MSVC DLL文件，通过分析可以发现该DLL是在Visual Studio生成的默认桌面应用程序项目基础上进行修改和“加料”，主要工作流程如下:

首先，攻击者会收集主机名和磁盘信息；

然后创建目录%Temp%\NVidiaSetup\kd8812u，以文件流的方式写入此前收集的主机信息，在等待一定时长后调用函数ShellExecute打印文件流，其寓意暂时未知。    

随后则是加载一个包含加密载荷的DLL文件，参数为加载的DLL文件模块句柄和解密Key，参数格式：小写十六进制模块句柄_解密Key。    

• 模块2   

该模块由Go语言编写，其中包含多个开源项目，主要工作流程如下：

利用开源项目gopsutil[1]收集主机信息并写到指定路径。    

利用开源项目screenshot[2]截取屏幕图像并写到指定路径，截屏图像的路径则写入如上提到的信息收集文件。

接下来是该组件的主要流程，解密并执行恶意载荷。

首先将上级MSVC加载器传入的解密Key进行十六进制解码。

然后解码资源中的Base64编码数据，再利用解密Key解密恶意载荷（此处使用的是RC4算法），最后调用恶意载荷。

• 载荷

恶意载荷共有两段，第一段载荷功能主要为循环解密并调用第二段载荷。    

第二段载荷则主要是反射加载CobaltStrike Beacon模块。

通过解析Beacon模块配置信息可知C2：strengthening-memories-reports-restoration.trycloudflare.com:443。    

2. VMP双重加载器  

在日常APT狩猎中我们发现了一组后门加载器，第一时间进行分析后确认了这组加载器是海莲花双重加载器的VMP版本。

（以下对比图左侧均为无壳加载器，右侧均为VMP加载器代码中未被VM或混淆的部分。）

• 模块1  

通过绝对路径加载GoLang恶意模块部分代码对比：

• 模块2 

• 载荷  

[1] https://github.com/shirou/gopsutil

[2] https://github.com/kbinani/screenshot

[3] https://mp.weixin.qq.com/s/IB2w86cXcpmGS8qrOnprKw

[4] https://ti.defender.microsoft.com/articles/541a465f