· 一个用来收集操作系统信息、提交信息给恶意C2 服务器、接受其他的C2通信信息；
· 另一个是后门功能。
收集的信息会被加密，并发送给恶意C2服务器。

文章插图
图 13. 发送给C2服务器的TCP流
并从相同的服务器接收命令。

文章插图
图 14. 从C2服务器接收命令的TCP流
恶意软件使用的C2服务器如下所示：
· mihannevis[.]com
· mykessef[.]com
· idtpl[.]org
新变种的后门功能与老版本的类似，如下所示：

文章插图

文章插图
图 15-16. 老版本OceanLotus变种（上）和新版本（下）的代码比较
C2域名
根据Google和Whois 历史记录，mihannevis[.]com域名是在使用C2 服务器之前用来保存其他网站信息。

文章插图

文章插图
图 17-18. mihannevis[.]com域名历史，Whois (上)和谷歌（下）
在VirusTotal中，相关的URL查询出现在8月底。

文章插图
图 19. VirusTotal中与mihannevis[.]com相关的URL
之前，域名"mykessef[.]com" 被用作C2服务器。

文章插图
图 20. mykessef[.]com域名历史
"idtpl[.]org"域名的注册时间是3年前，之后没有更新历史。根据Whois 的查询结果，其注册商已于2020年3月底过期。

文章插图
图 21. idtpl[.]org 注册信息
但是，在2020年7月中旬，其IP 地址被修改为185[.]117[.]88[.]91。

文章插图
图 22. idtpl[.]org域名历史信息

• 创意|wacom one万与创意数位屏测评
• 黑莓(BB.US)盘前涨逾32%，将与亚马逊开发智能汽车数据平台|美股异动 | US
• 巅峰|realme巅峰之作：120Hz+陶瓷机身+5000mAh 做到了颜值与性能并存
• 抖音小店|抖音进军电商，短视频的商业模式与变现，创业者该如何抓住机遇？
• YFI正式宣布与Sushiswap合作|金色DeFi日报 | 合作
• 小店|抖音小店无货源是什么？与传统模式有什么区别？
• 星期一|亚马逊：黑五与网络星期一期间 第三方卖家销售额达到48亿美元
• 迁徙|网红迁徙记：哪里才是奶与蜜之地？
• 与用户|掌握好这4个步骤，实现了规模性的盈利
• 按键|苹果与宜家合作智能家居快捷按键,定价9.99美元