很早之前就对APT组织的攻击方式感兴趣，因为他们的传播方式、隐藏方式、攻击方式都让人眼界大开，也可以拓展分析思路的。所以就找了一个海莲花的样本来尝试分析，收获满满。

利用微软白文件加载恶意wwlib.dll文件，释放出隐藏的doc文件，并在内存中释放出3段shellcode，最后获取恶意程序的链接并下载。

EXE文件是带有微软签名的合法 word 程序，攻击者通过该程序加载恶意的 wwlib.dll 文件来释放 shellcode 进行攻击。

dll文件是隐藏的恶意文件。

exe文件调用dll，所以可以在 Loadlibrary 函数处下断点，来等待加载

继续运行之后会释放doc文件并运行

申请空间来存放第一次的shellcode，通过xor异或解密之后再存放

第一段 shellcode 是在这里之后转到的，

从一个巨大的字符串数组中循环取出字符串后，经过解密算法来算出需要的函数字符串名称，如LoadlibraryA、VirtualAllocEx等

解密 VirtualAllocEx 之后，申请空间来存放新的 shellcode

解密shellcode之后，会调用第二段shellcode，

使用极其耗费时间的大循环来解密字符串，防沙箱等检测工具

解密出 calloc 之后，申请空间

复制数据到申请的空间中

获取网关信息

第三段 shellcode 使用动态提取的方式来获取 CryptAcquireContextA、CryptCreateHash、CryptHashData、CryptDeriveKey，并通过这些函数来保证CryptDecrypt函数的正常运行

创建空间，存放第三段 shellcode

通过 CryptDecrypt 解密函数，每次解密出shellcode的16位数据

将解密出的数据复制到申请的空间中

以创建进程的方式运行第三段 shellcode

在第3段 shellcode 中，会将要连接的url复制到特定内存中，连接url，

由于C2早已掉线，无法连接，这次的分析也就只能到这里了，估计下载的是一个EXE，想来应该是个具有窃密，回传信息的恶意程序。

分析了这个样本感觉收获很多，首先是对白加黑的投递方式有了更深的理解，其次是对shellcode内存荷载的多阶段释放印象深刻。

对于海莲花这种靠后梯队的APT组织来说，他所投递的样本相对高梯队的APT组织投递的样本，分析难度还是较低，至少有迹可循。

样本IOC：SHA256 - c0ea37db94aa0d747ece7f46afcf90e43fb22c06731f291f0b2ba189d4326e33.rar
2abK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6S2M7s2m8Q4x3X3g2S2L8Y4W2Q4x3X3g2J5N6h3&6Q4x3V1k6@1j5i4y4C8M7#2)9J5c8X3t1K6x3U0l9#2k6r3p5%4i4K6u0V1z5r3x3^5z5q4)9J5k6o6b7K6y4K6g2Q4x3X3c8T1j5K6R3%4i4K6u0V1k6X3k6T1j5U0V1^5y4h3j5H3x3h3t1^5i4K6u0r3

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课