使用和海莲花相似混淆手法的攻击样本分析

概述近日，奇安信红雨滴团队在日常样本狩猎过程中捕获到一批使用了与海莲花（OceanLotus）APT组织相似代码混淆方法的攻击样本。此类样本借助Word程序的DLL侧加载执行恶意代码，代码混淆也采用了海莲花组织曾使用过的方法。基于上述相似性，一些安全研究者在这些样本上传到VT后将其归属于海莲花组织。经过红雨滴团队研究人员的研判分析，这些样本具体的攻击流程与海莲花过往活动使用的攻击手法存在明显差异，与海莲花的关联性较弱，暂不能归属到任何APT攻击团伙。鉴于该类攻击样本所用混淆方法比较典型，且样本攻击流程具有一些独有特征，本文将对样本代码去混淆过程和样本采用的攻击手法做个记录。本次捕获的攻击样本具有如下特点：恶意DLL和释放的后 ………………………………