关于“海莲花”（OceanLotus）的相关背景介绍在先前的文章：九维团队-暗队（情报）| “海莲花”APT近期攻击样本分析报告中已有提及，在此不再赘述，感兴趣的小伙伴可自行点击蓝字阅读。

近日，安恒信息分子实验室反APT小组（九维团队-暗队）在研究过程中分析了“海莲花”的历史攻击活动样本。当用户打开恶意文档时，会加载恶意宏，该恶意宏会判断操作，符合要求则释放出下一阶段载荷，该载荷会释放出最终的远控木马，木马会搜集主机信息，加密后回传C2，并尝试从C2获取下一步指令并执行，该样本会通过创建开机启动项实现持久化。

分子实验室反APT小组通过对样本进行逆向分析，根据样本行为特征、C2以及结合开源情报，确定此次攻击活动背后的组织为“海莲花”APT。

样本启动后文档内容如下，诱导用户启用宏：

恶意文档首先判断系统版本，如果32位系统会尝试加载“libc.dylib”中的导出函数system，用来执行系统命令。如果是64位系统则将文档正文设置为白色，并隐藏文字，伪装成空白文档迷惑受害者。

判断系统类型，如果是MacOS系统则继续执行。

将当前文档所在路径拼接进Perl脚本内：

最后输出的Perl脚本会从文档中解压出 theme0.xml文件，添加可执行权限并执行。

核心功能实现在setStartup方法内。

首先会判断是否为Root用户，根据权限将后门文件写入不同的路径中。

GET_PROCESSPATH 方法为解密字符串，样本内所有字符串均使用该方法加密。

加密方式为 AES256，密钥长度20个字节。

解密出的硬编码路径为：

有root权限：

*左右滑动查看更多

无root权限：

解密出进程名：

后门安装方法主要实现在 Loader::installLoader内，从自身读取出第三阶段可执行文件，写入磁盘。

通过文件头判断出后门为Mach-O可执行文件。

setTimeFile方法会调用系统命令修改文件创建时间，解密出的命令行为：

*左右滑动查看更多

如果当前是root用户，还会解密出路径 /Library/LaunchDaemons/，并创建服务文件

*左右滑动查看更多

随后隐藏 com.apple.screen.assistantd.plist 文件，并随机化文件修改日期：

服务配置需重启后才会启用，这里会解密出命令并执行加载服务：

*左右滑动查看更多

核心功能点在HandlePP::infoClient 与HandlePP::runHandle 两个方法里，infoClient 负责信息搜集，runHandle 负责执行C2命令:

信息搜集

HandlePP::infoClient 方法搜集系统信息，如安装时间、系统版本、用户名、计算机名等，加密后回传C2。

STRINGDATA::GET_PATH_INFO 方法执行后会解密出一段路径。

非Root用户路径：

Root用户路径：

*左右滑动查看更多

内容为用作识别客户端身份的唯一ID：

调用hiddenFile / setTimeFile方法隐藏文件，随机化创建时间：

加密搜集到的信息：

获取c2 域名ssl.arkouthrie.com。

备用C2 域名s3.hiahornber.com。

备用C2 域名ssl.arkouthrie.com。

拼接请求：

*左右滑动查看更多

调用 Connector::postHttp 发送数据：

远程控制

HandlePP::runHandle 部分主要功能为请求C2、接收指令并执行：

进入 HandlePP::requestServer 方法。

解密并拼接请求后，通过 Packet::getCommand 获取控制命令：

受控命令功能分析：

Command == 0x33 获取文件大小

Command == 0xE8 退出进程

Command == 0xA2 && Command == 0xA1

respondLoadLunaThread 线程分析（功能：下载文件并执行）

如果已执行就删除执行文件。

未执行就写入磁盘并执行。

respondRunTerminalThread 线程分析 （功能：执行系统命令）

Command == 0x48 删除文件

Command == 0x72 文件上传

Command == 0x23  || Command == 0x3C 文件下载

根据样本行为特征、C2以及结合开源情报，确定此次攻击活动背后的组织为“海莲花”APT。

在海莲花历史样本（firefox.dmg)中，发现了与本次攻击相同的C2回连URL与本次攻击活动样本相符(/v3/yQ/r/eiCu1gd6Qme.js)。

本次攻击活动样本的C2服务器：

*左右滑动查看更多