美方发布朝鲜Lazarus团伙黑客工具分析报告

2017-11-21 379768人围观 ,发现 2 个不明物体 安全报告工具

概要

2017年11月14日,美国计算机安全应急响应小组(US-CERT)发布了“Hidden Cobra”团伙(即Lazarus)[1]常用工具FALLCHILL、Volgmer的分析报告[2],指出该团伙具有朝鲜政府背景。微步在线也于近期发表了多篇该组织攻击动向的内部分析报告。对比发现,US-CERT报告中描述的FALLCHILL与我们发现该团伙最新的后门程序功能特点高度一致。

具体内容包括:

US-CERT分析的FALLCHILL样本为该团伙2016年期间使用的早期版本,公布的IOC中共计196个IP地址,其中美国(44个)、印度(37个)、伊朗(26个)和中国(14个)的等国家占比较高。

微步在线近日捕获了多份伪装成金融相关行业招聘信息的恶意文档,执行后会释放新版的FALLCHILL后门。该程序设计功能相对复杂,能够根据攻击者发送指令实现上传系统信息、创建文件、进程等操作,使得系统环境和功能操作完全在控制者的掌握之中,危害较大。

FALLCHILL与C&C服务器的通信过程会包含失效的数字证书,涉及Google、Apple、Yahoo!、Github以及Baidu、Lenovo等国内外大型网站,以规避检测。

微步在线关联发现,近期针对韩国的一系列网络攻击活动中,攻击者使用了相似的手法和木马工具,判断同为Lazarus团伙所为。

微步在线分析发现Lazarus仍在使用的IP12个,其中个别主机属于我国主流云厂商。

分析认为,Lazarus团伙除继续针对韩国、美国开展渗透攻击,已开始将触手伸向亚洲其他国家的金融行业,其主要使用入侵的合法网站服务器作为C&C(远程控制)服务器,且基础设施和通信过程与中国存在较大联系,对我国的潜在危害巨大。

详情

2017年11月14日,US-CERT发布Lazarus团伙FALLCHILL、Volgmer两款木马的分析报告,指出FALLCHILL(公开的样本编译时间为2016年3月)会使用伪造的TLS协议与C&C通信,并收集受害者主机的操作系统版本、处理器、IP和MAC等基础信息,同时按照C&C指令执行创建文件、删除文件、创建进程、关闭进程等操作,与我们近期捕获该组织恶意样本的功能和特点基本一致。

微步在线最新捕获该组织使用的恶意文档名为JD.doc,语言编码为韩语,最后的修改时间为2017年10月26日。

美方发布朝鲜Lazarus团伙黑客工具分析报告

打开后会提示“该文档由新版本创建,需点击允许编辑,并点击启用内容”,诱导用户启用恶意宏脚本。

美方发布朝鲜Lazarus团伙黑客工具分析报告

该脚本会打开一份Juno公司(境外比特币公司)招聘CFO的职位描述文档,用于迷惑受害者,同时释放名为“smss.exe”的FALLCHILL工具(编译时间为2017年10月)。如下图所示:

美方发布朝鲜Lazarus团伙黑客工具分析报告

此外,我们还捕获了多份类似的招聘文档,主题包括面向亚洲地区招聘财务人员的职位要求(8月21日)和IBM公司在菲律宾招聘要求(8月6日)等,释放的恶意样本属于较新版本的FALLCHILL。

美方发布朝鲜Lazarus团伙黑客工具分析报告

美方发布朝鲜Lazarus团伙黑客工具分析报告

样本分析

微步在线对最新生成的FALLCHILL分析发现,此类工具由诱饵文档释放并执行,通常命名为系统进程以混淆视听,具体行为如下:

1. 检查并设置相关注册表键值,其中,注册表键值的内容均通过对硬编码的密文进行动态解密来获得。如果存在这些键值,则说明样本已经运行,直接退出;若不存在,则在注册表中写入相关键值,样本将继续执行。

美方发布朝鲜Lazarus团伙黑客工具分析报告

美方发布朝鲜Lazarus团伙黑客工具分析报告

美方发布朝鲜Lazarus团伙黑客工具分析报告

美方发布朝鲜Lazarus团伙黑客工具分析报告

美方发布朝鲜Lazarus团伙黑客工具分析报告

2. 建立基于Select模型的SOCKET网络通信,对FD_Set进行初始化,完成Select模型的准备工作。

美方发布朝鲜Lazarus团伙黑客工具分析报告

3. 在完成FD_Set的初始化后,样本通过使用ioctlsocket函数,设置SOCKET为非阻塞模式,然后调用connect函数连接C&C服务器,开启虚电路通信。接着调用 select函数和_WSAFDIsSet函数来测试本机与C&C服务器之间的连通性,最后,使用ioctlsocket函数将SOCKET重置为阻塞模式。

美方发布朝鲜Lazarus团伙黑客工具分析报告

4. 构造虚假的TLS通信(Fake TLS)。

样本按照TLS通信协议,构造一个虚假的TLS通信来迷惑分析人员,让网络流量看起来像是正常的TLS握手和通信的过程。

首先,发送5个字节的数据,其中,前三个字节“16 03 01”为固定字节,后两个字节预示着本机要发送的下一个包的大小,如下图中后两个字节为00 A0,即下一个包的大小为0xA0(十进制160)字节。

美方发布朝鲜Lazarus团伙黑客工具分析报告

接着,发送下一个封包,其中包含一个知名网站的域名,如下图中的“www.baidu.com”。在虚假的

TLS通信中,本机将向C&C服务器请求这个域名的证书,等待服务器返回。

美方发布朝鲜Lazarus团伙黑客工具分析报告

域名将在以下列表中随机选取(共20个):

www.wikipedia.org www.microsoft.com www.dropbox.com www.baidu.com
www.wetransfer.com www.lenovo.com www.debian.org www.apple.com
www.twitter.com www.google.com www.comodo.com web.whatsapp.com
www.tumblr.com www.github.com www.bitcoin.org uk.yahoo.com
www.paypal.com www.facebook.com www.bing.com myservice.xbox.com

服务器将先返回5个字节的数据包,格式与本机发送的包格式相同,前3个字节固定,后2个字节预示下一个包的大小。

美方发布朝鲜Lazarus团伙黑客工具分析报告

美方发布朝鲜Lazarus团伙黑客工具分析报告

之后,发送请求域名的证书。

美方发布朝鲜Lazarus团伙黑客工具分析报告

把证书Dump出来,保存为cert文件,得到了baidu.cer,即C&C服务器返回的虚假百度证书。

美方发布朝鲜Lazarus团伙黑客工具分析报告

该证书没有足够信息,无法进行验证,且已于2015年6月10日过期,是一个明显的无效证书。

美方发布朝鲜Lazarus团伙黑客工具分析报告

美方发布朝鲜Lazarus团伙黑客工具分析报告

美方发布朝鲜Lazarus团伙黑客工具分析报告

  5. 建立后门,等待来自C&C服务器的控制码

美方发布朝鲜Lazarus团伙黑客工具分析报告

  6. 根据C&C服务器发送的指令,执行相应的恶意行为,并将操作结果返回给C&C服务器。样本中使用一个大的分支选择(switch…case)结构,从十六进制的0×8001至0×8026,共38个不同的控制码,分别进行处理。

美方发布朝鲜Lazarus团伙黑客工具分析报告

控制码对应执行的功能主要有上传本机信息类,如上传当前工作目录,当前进程信息,当前系统临时目录等,也有执行特定功能类,如创建文件、创建进程、关闭进程等,使得主机的当前信息及相关行为几乎完全在控制者的掌握之中。

在控制码0×8003执行的功能中,系统将创建并运行一个.bat批处理文件,该文件将对批处理文件本身、样本文件以及中间生成的临时文件执行自删除功能,清除操作痕迹。

关联分析

1、韩国HWP软件攻击

9月14日,趋势科技发布文章称[3],有黑客利用韩国文字处理软件Hangul Word Processor(HWP)的PostScript功能执行恶意指令,诱饵文件的主题包括“比特币”和“金融安全标准化”等,但未对攻击细节进行进一步描述。

微步在线对FALLCHILL类样本深入分析发现,自今年5月以来出现的多个HWP文档会利用漏洞释放并启动后门程序,对应样本同样使用Fake TLS方式与C&C服务器的443端口进行通信,仿冒的网站同样包括www.microsoft.com、web.whatsapp.com、www.bing.com  www.paypal.com等,所有特征均与该工具完全一致,再加上攻击者利用文档传播木马、攻击对象为韩国,以及部分C&C地址也与US-CERT报告中公布的IOC存在重叠,基本可以认定幕后团伙即Lazarus。

2、黑客基础设施

据US-CERT报告数据统计发现,该团伙使用的C&C服务器共196个,其中美国44个、印度37个、伊朗26个、中国14个、阿根廷11个;微步在线威胁情报系统显示,自9月以来至少有另外12台服务器被Lazarus团伙用于攻击的主机活跃,主要涉及中国、美国、韩国等国家,而其中涉及我国的IP多存在合法网站(部分属于国内主流云厂商),推测应该是被攻陷后作为C&C 使用。

微步在线分析认为,Lazarus团伙除长期针对韩国开展渗透攻击外,已开始将触手伸向其他亚洲国家的金融行业,由于其主要使用入侵的合法网站服务器作为C&C服务器,且基础设施和通信过程与中国存在较大联系,对我国的潜在危害极大。

附录

US-CERT公布IOC(大部分IP已失效)

https://www.us-cert.gov/sites/default/files/publications/TA%20FALLCHILL%20IOCs.csv

https://www.us-cert.gov/sites/default/files/publications/TA%20VOLGMER%20IOCs.csv

1. 又名Lazarus(拉撒路),该黑客组织于2009 年开始活跃,除长期针对韩国政府、金融、媒体等行业实施渗透攻击外,还被指与入侵索尼影业(2014年)、盗取孟加拉央行8100万美元(2016年)等重大攻击事件有关。 

 2.  https://www.us-cert.gov/ncas/alerts/TA17-318Ahttps://www.us-cert.gov/ncas/alerts/TA17-318B 

 3.  http://blog.trendmicro.com/trendlabs-security-intelligence/hangul-word-processor-postscript-abused-malicious-attachments/ 

*本文作者:Threatbook,转载请注明来自 FreeBuf.COM

发表评论

已有 2 条评论

取消
Loading...
css.php