鑽石舞台

上個月深信服安全藍軍高級威脅研究團隊在日常發現與追蹤高級黑客組織的過程中，於外部 VirusTotal 渠道發現一例從越南地區上傳的可疑文件，上傳時間為 2022 年 2 月14 日，上傳提交時原始文件名為 ggg.dll，查看 community 字段後發現，該文件提交來源於已經登錄的 VirusTotal 用戶。經過對代碼同源性進行分析，表明該文件是屬於之前追蹤並持續關注的海蓮花組織團伙的落地攻擊文件，但是在深度分析中發現該文件新增的部分邏輯存在未完成的痕跡，與以前存在代碼同源性的眾多攻擊文件明顯不同。由於該文件在互聯網上並未搜索到公開的相關結果，從提交來源是越南地區來看，我們可以得出以下兩種猜測（下述猜測是依據能獲取的相關信息進行歸納總結提煉，並不確保 100% 正確，望知悉）：

1. 惡意文件是該組織針對越南地區的攻擊文件；

2. 該組織存在相關關係的成員有可能無意間泄露了還未發布的測試文件（由於針對二進制層面的邏輯修改補丁難度極高，可以推測相關成員是能接觸到明文源碼的人群）；

在獲取到該文件後本地分析時發現無法對其進行動態調試，例如存在以下報錯信息。從這裡我們可以發現惡意文件本身是不符合PE文件規範的，外部程序 ollydbg 無法加載調用 dll 成功。

接着換用 x32dbg 調試，直接提示無效的 PE 文件。

對 PE 文件結構進行深度分析後，我們手工修復了錯誤的結構，最終使其可以成功開啟動態調試，後續在 VirusTotal 搜索發現並沒有該修復文件提交記錄，排除了人為惡作劇的可能性。

該惡意文件的原始文件名為 ftnlapi.dll，經過對惡意文件的分析可以發現這是 VMware產品相關的組件，該惡意 dll 文件的加載白文件母體為 vmwsprrdpwks.exe ，內嵌的互斥量為 「5b58b928-637e-40ae-aae6-1b10d611c4d6」 。

第一階段的 shellcode 位於該惡意文件的資源數據區域，如下是惡意文件開始讀取資源數據分配內存空間存放 shellcode。

以下的惡意代碼邏輯里出現了並未執行的邏輯（猜測屬於測試階段，將 「vcbs to bs to can to be or key byte tlele」 複製到某處充當密鑰？），以及在該樣本中發現的新增shellcode 解密邏輯（該處邏輯對第一階段 shellcode 進行解密）以及多餘的代碼邏輯。

利用上述的解密邏輯，我們可以直接手工將位於資源數據區域的 shellcode 進行解密得到第一階段 shellcode，轉換為 Python 代碼如下：

在對後續邏輯進行調試分析後發現該惡意文件依然屬於海蓮花採用的定製化攻擊文件策略，最終需要獲取受害機器的計算機名稱值作為密鑰才能解密後續的第二階段 shellcode 。

以下的第一階段 shellcode 並未添加經常使用的 Shikata Ga Nai 編碼混淆器，這也是之前發現的眾多樣本中採用的 shellcode 代碼。

獲取本機計算機名稱計算 md5 值，作為後續的解密密鑰，計算機名稱不正確會解密失敗則無法執行後續的第二階段 shellcode，最後直接退出進程。

947bf6dfc09080d88e5bb968fda5f8da（ftnlapi.dll）