這是作者新開的一個專欄,主要翻譯國外知名安全廠商的APT報告,了解它們的安全技術,學習它們溯源APT組織的方法,希望對您有所幫助�。前文分享了Rampant Kitten攻擊活動,包括Windows信息竊取程序��、Android后門和電報網絡釣魚頁面�����。這篇文章將介紹APT組織拉撒路(Lazarus)使用的兩款惡意軟件,并進行詳細分析�。個人感覺這篇文章應該是韓國或日本安全人員撰寫,整體分析的深度距安全大廠(FireEye���、卡巴斯基��、360)的APT報告還有差距,但文章內容仍值得我們學習����。
原文標題:Malware Used by Lazarus after Network Intrusion原文鏈接:https://blogs.jpcert.or.jp/en/2020/08/Lazarus-malware.html文章作者:朝長 秀誠 (Shusei Tomonaga)發布時間:2020年9月29日文章來源:JPCERT/CC Eyes文章目錄:
一.網絡入侵后的惡意軟件1.惡意軟件概述2.配置(Configuration)3.混淆(Obfuscation)4.C&C服務器通信5.下載模塊6.橫向移動 二.惡意軟件BLINDINGCAN1.BLINDINGCAN概述2.配置(Configuration)3.混淆(Obfuscation)4.C&C服務器通信5.指令 三.總結 一.網絡入侵后的惡意軟件 JPCERT/CC 觀察到Lazarus(也稱為“隱藏眼鏡蛇”)針對日本組織的攻擊活動,入侵前后使用了不同類型的惡意軟件��。第一款工具將介紹網絡入侵后使用的一種惡意軟件�。
Lazarus(T-APT-15)組織是來自朝鮮的APT組織,該組織長期對韓國��、美國進行滲透攻擊,此外還對全球的金融機構進行攻擊,堪稱全球金融機構的最大威脅����。該組織最早的攻擊活動可以追溯到2007年��。據國外安全公司的調查顯示,Lazarus組織與2014 年索尼影業遭黑客攻擊事件,2016年孟加拉國銀行數據泄露事件,2017年美國GF承包商��、美國能源部門及英國��、韓國等比特幣交易所被攻擊等事件有關�����。而2017年席卷全球的最臭名昭著的安全事件“Wannacry”勒索病毒也被懷疑是該組織所為�。
1.惡意軟件概述 該惡意軟件下載及執行模塊如下��。它以 .drv 文件的形式保存在 C:WindowsSystem32 文件夾中,并作為服務運行���。使用VMProtect將其混淆,文件末尾包含一些不必要的數據,使文件大小增加到約150MB���。圖1顯示了惡意軟件運行前的事件流���。
以下各部分將說明有關惡意軟件的詳細信息,包括配置���、通信格式和模塊����。
2.配置(Configuration) 惡意軟件的配置(大小0x6DE)被加密并存儲在注冊表項中,并在執行時加載����。在此分析中,已確認配置存儲在以下目錄中:
Key: HKEYLOCALMACHINESYSTEMCurrentControlSetServiceseventlogApplication Value: Emulate 圖2是一個解碼配置示例,它包含一個加密密鑰以及C&C服務器的信息���。(詳見附錄A)
3.混淆(Obfuscation) 惡意軟件中的所有字符串均使用AES128加密,加密密鑰被硬編碼在惡意軟件中��。圖3是加密密鑰的示例,由于惡意軟件將16個字母的字符串轉換為寬字符(32個字節),因此只有前16個字節被用作密鑰���。
Windows API名稱也經過AES加密��。在解密API字符串后,將解析由LoadLibrary和GetProcAddress調用的API的地址��。
4.C&C服務器通信 以下是惡意軟件首先發送的HTTP POST請求示例��。
POST數據的參數([param])是從以下隨機選擇的����。
tname;blogdata;content;thesis;method;bbs;level;maincode;tab;idx;tb;isbn;entry;doc;category;articles;portal;notice;product;themes;manual;parent;slide;vacon;tag;tistory;property;course;plugin POST數據中的值是以下數據的Base64編碼的字符串�����。
[default AES Key]@[Unique ID] 如果從C&C服務器返回一個與Cookie(Base64編碼)中的“ 4位認證密鑰”相同的值作為響應,則該惡意軟件將發送以下信息��。第二次通信后,惡意軟件發送以下HTTP POST請求�����。
POST數據的參數是從上述列表中隨機選擇的�。POST數據包含兩條信息,“Data1”包含命令,而“Data2”包含命令執行的結果和其他附加數據(詳細信息請參見附錄B)��。響應數據的格式與請求相同,但缺少參數����。響應數據經過AES加密,然后像POST數據一樣進行Base64編碼��。區別在于“+”號被一個空格代替�。
圖5是從與C&C服務器通信開始到下載模塊的通信流程�。在第二次通信中,惡意軟件發送一個新的AES密鑰,該密鑰對隨后的通信進行加密�����。
在第三次通訊時,將下載一個模塊(Module) �����。以下是下載模塊時來自C&C服務器的響應示例���。
5.下載模塊 模塊下載成功后,它將執行如從C&C服務器接收命令的主要功能�����。惡意軟件提供了包括C&C服務器和加密密鑰的信息作為參數,下載的模塊經過UPX加密,如圖6所示���。
通信以與前面提到的幾乎相同的格式執行���。經確認,該模塊具有以下功能:
對文件的操作(創建列表��、刪除���、復制�����、修改創建的時間) 對進程的操作(創建列表��、執行��、終止) 上傳/下載文件 創建并上傳任意目錄的ZIP文件 執行任意shell命令 獲取磁盤信息 修改系統時間 6.橫向移動 為了橫向移動,在通過Pyinstaller將其轉換為Windows PE文件后,使用了SMBMap這個Python工具�����。該工具允許通過SMB訪問遠程主機,攻擊者通過利用事先獲得的帳戶信息來橫向傳播感染��。
https://github.com/ShawnDEvans/smbmap Lazarus的活動已經被許多不同的組織都報告過,并且在多個國家都發生了攻擊�����。在日本也有可能繼續觀察到類似的情況���。
二.惡意軟件BLINDINGCAN 在上一部分,我們介紹了Lazarus在網絡入侵后使用的一種惡意軟件��?���?梢钥隙ǖ氖?該組織使用了多種類型的惡意軟件,其中包括CISA最近在其報告中引入的BLINDINGCAN����。接下來我們分析BLINDINGCAN的攻擊流程�。
1.BLINDINGCAN概述 當加載程序加載DLL文件時,惡意軟件就會運行�。圖1顯示了BLINDINGCAN運行之前的事件流��。JPCERT/CC 已確認DLL文件已在某些示例中編碼(這需要在執行前由加載程序進行解碼)��。
BLINDINGCAN與上述惡意軟件有一些相似之處,包括其功能和通信編碼算法��。下面的部分將解釋它的配置和通信協議����。
2.配置(Configuration) BLINDINGCAN的配置(大小0xA84)主要存儲在以下位置中:
如果將其保存為文件,則將其存儲在BLINDINGCAN所在的文件夾中�。我們已經確認,如果配置存儲在注冊表項中,則使用以下目錄�����。
Key: HKEYLOCALMACHINESOFTWAREMicrosoftWindowsCurrentVersion== Value: "SM_Dev16[numeric string]" 配置使用XOR編碼���、AES或RC4進行加密��。加密密鑰是固定的,也可以根據受感染設備的環境生成�。JPCERT/CC 已確認以下加密密鑰模式:
[File name][Export function name][Service name][CPUID][Computer name][Processor name][Physical memory size]下圖顯示了解碼配置的示例�����。這包括代理信息以及C&C服務器信息���。(詳細信息請參閱附錄)
3.混淆(Obfuscation) BLINDINGCAN中的某些代碼部分使用RC4進行了混淆���。下圖是混淆代碼的示例�����。RC4加密密鑰在示例本身中進行了硬編碼�。
4.C&C服務器通信 下面是BLINDINGCAN最初發送的HTTP POST請求數據示例����。
數據格式如下,除了RC4密鑰,所有值都是RC4加密和Base64編碼的��。第一個HTTP POST請求中的param2是字符串“T1B7D95256A2001E”編碼值��。
POST數據中的參數(param1,param2,param3)是從以下內容中隨機選擇的:
boardid,bbsNo,strBoardID,userid,bbs,filename,code,pid,seqNo,ReportID,v,PageNumber,num,view,read,action,page,mode,idx,cateId,bbsId,pType,pcode,index,tbl,idxnum,act,bbsid,bbsform,bid,bbscate,menu,tcode,bcode,bname,tb,borad01,borad02,borad03,mid,newsid,table,Boardseq,bcidx,seq,ArticleID,BNotice,nowPage,webid,boardDiv,subidxa 此處使用的RC4加密與常規加密不同����。它有一個進程來將密鑰流移動C00h�����。以下是用Python編寫的RC4加密過程,它不適用于使用常規RC4的param3�。
下圖是從與C&C服務器通信開始到接收命令的通信流程�。
如果服務器收到一個Base64編碼的param3值(上圖中的隨機二進制數據)作為對第一個請求的響應,則惡意軟件將發送另一個請求����。下一數據是用param3中的空param2和一個命令請求(上圖中的命令請求0x2040)發送的����。param3中的數據是異或編碼��、RC4加密,然后Base64編碼�����。此后,BLINDINGCAN從C&C服務器接收命令,響應數據也經過XOR編碼����、RC4加密和Base64編碼����。唯一的區別是“ +”號被空格代替���。
5.指令 BLINDINGCAN執行多種功能,具體如下:
對文件的操作(創建列表,刪除���、移動���、修改時間戳,復制) 對進程的操作(創建列表�����、執行�、終止) 上傳/下載文件 獲取磁盤信息 獲取服務列表 執行任意的shell命令 到目前為止,我們已經介紹了Lazarus使用的兩種惡意軟件�����。但是,已知它們也使用其他類型的惡意軟件��。如果發現任何新型惡意軟件,我們將提供更新�����。
三.總結 Lazarus APT是來自朝鮮的APT組織,挺厲害和出名的一個攻擊組織����。該組織擅長使用郵件釣魚進行魚叉攻擊,同時武器庫強大,具有使用0Day發起攻擊的能力���。而從披露的該組織的活動來看,該組織發起攻擊的規模都巨大�。雖然該組織的攻擊活動被不斷的披露,但是該組織從未停止攻擊活動的腳步,相反攻擊活動還更加的活躍,同時還把攻擊目標不斷擴大,從能源��、JS���、政企等部門到專項金融機構,尤其是數字貨幣交易所等����。因此,我們提醒政企等廣大用戶,切勿隨意打開來歷不明的郵件附件,同時安裝安全軟件����。最后希望這篇文章對您有所幫助,更推薦大家閱讀原文��。
前文分享:
[譯] APT分析報告:01.Linux系統下針對性的APT攻擊概述 [譯] APT分析報告:02.釣魚郵件網址混淆URL逃避檢測 [譯] APT分析報告:03.OpBlueRaven揭露APT組織Fin7/Carbanak(上)Tirion惡意軟件 [譯] APT分析報告:04.Kraken - 新型無文件APT攻擊利用Windows錯誤報告服務逃避檢測 [譯] APT分析報告:05.Turla新型水坑攻擊后門(NetFlash和PyFlash) [譯] APT分析報告:06.猖獗的小貓——針對伊朗的APT攻擊活動詳解 [譯] APT分析報告:07.拉撒路(Lazarus)使用的兩款惡意軟件分析 2020年8月18新開的“娜璋AI安全之家”,主要圍繞Python大數據分析����、網絡空間安全�、逆向分析��、APT分析報告�、人工智能��、Web滲透及攻防技術進行講解,同時分享CCF����、SCI�、南核北核論文的算法實現����。娜璋之家會更加系統,并重構作者的所有文章,從零講解Python和安全,寫了近十年文章,真心想把自己所學所感所做分享出來,還請各位多多指教,謝謝��。
