close
APT-C-26
Lazarus
ISO文件是未壓縮的存檔磁盤映像文件,它代表光盤(CD\DVD)上的全部數據,大多數時候ISO文件被刻錄到USB/CD/DVD作為可引導內容,用於引導機器進行安裝。由於ISO文件的特性,在誘餌文件的使用上深受Lazarus、Winnti、TA505等APT組織的青睞。

近日360高級威脅研究院監測到一起疑似APT-C-26(Lazarus)組織以加密貨幣錢包推廣信息為主題投遞惡意ISO文件的攻擊事件,攻擊者在ISO文件內打包了一個惡意快捷方式(.lnk)文件,當用戶打開該快捷方式文件時會調用powershell.exe進程從自身文件中查找數據釋放3個文件並執行其中的惡意DLL文件(誘餌PDF、加載器DLL、密文文件),在執行了DLL加載器後最終解密出的後門軟件疑似Lazarus組織的NukeSped家族後門。

一、受影響情況

該起攻擊事件中主要針對加密貨幣持有者,攻擊者以一款名為Somora的加密貨幣錢包推廣文件向加密貨幣持有者投遞,主要目的疑為竊取加密貨幣。

二、攻擊活動分析1.攻擊流程分析

完整的攻擊流程如下:


2.惡意載荷分析

攻擊者在ISO文件中打包了幾張Somora加密錢包程序頁面截圖和一個命名為「Somora Cryptocurrency Wallet」的快捷方式文件。當受害用戶運行了包含惡意代碼的快捷方式文件,快捷方式文件會調用powershell.exe進程從自身文件中截取數據分別在%userprofile%\Documents目錄下釋放一個PDF文件,在%temp%目錄釋放一個DLL文件和一個密文數據文件。

圖 1:ISO打包的文件

打包在ISO文件內的Somora加密錢包截圖文件。

圖 2:ISO內的Somora加密錢包應用截圖

釋放的Somora加密貨幣錢包應用推廣PDF文檔信息。

圖 3:釋放的PDF推廣信息

Powershell進程執行了指令後,先後打開誘餌PDF文件以及調用rundll32.exe以指定導出函數和命令行執行落地在%temp%目錄下的DLL文件。

圖 4:lnk文件執行的惡意代碼

落地%temp%目錄下的DLL文件實則為loader程序,loader程序正常運行的話從指定導出函數執行,並通過命令行獲取密文數據的文件名將其文件數據讀取到內存中,隨後使用特定key進行異或運算解密得到第一階段的Shellcode運行。

圖 5:異或解密Shellcode

3.攻擊組件分析

Lazarus組織使用的NukeSped家族後門歷史悠久,其使用歷史可追溯到2015年前。發展至今衍生出多個版本其後門功能也五花八門,因此次事件中Shellcode解密出來的後門程序中使用的特殊字符、代碼結構、代碼習慣上都與NukeSped家族後門存在相似度,所以推測是NukeSped家族後門的某變種版本。

一階段中解密出的Shellcode其主要功能是將Shellcode中打亂編碼的後門程序數據進行還原並裝載運行。

圖 6:編碼打亂的PE數據

由於是從多段Shellcode中解密數據進行裝載和經典NukeSped後門不同它顯得更加「簡潔」,後門程序所需使用的敏感字符信息以及敏感API信息都未做「掩飾」處理。

後門的C&C地址以及運行過程中使用的字段信息都以硬編碼的形式存儲。

圖 7:C&C地址

在正式發送上線包之前程序獲取當前進程的PID充當上線包tuid字段值,並獲取一個隨機數使用自定義編碼進行異或運算後轉成base64字符充當上線包payload字段值。

圖 8:上線字段信息

發送上線包時後門程序通過檢索註冊表判斷當前機器是否使用代理確保上線包正常發出,上線包以POST請求指定443端口向攻擊者C&C服務器進行發送。

圖 9:上線包發送

攻擊者返回的base64指令數據先進行base64解碼處理後再使用自定義的編碼進行異或解碼。

圖 10:異或編碼

後門指令支持攻擊者在受害用戶機器上獲取用戶機器信息、落地文件、執行指定命令等操作。

指令
行為
0x892
休眠
0x899
退出
0x895
重試
0x894
文件落地
0x896
模塊信息獲取
0x89C

進程注入

0x893
獲取指定文件信息
0x898
執行指定命令
0x897
執行指定進程

三、技戰法變化

與以往披露的NukeSped家族後門不同,此次發現的後門未與殺毒引擎的靜態掃描做對抗,而以往發現的NukeSped家族後門則使用RC4或者是DES加密對C&C服務器列表和所使用的字符信息進行加密處理用以規避殺毒引擎的靜態掃描。

在網絡行為中也拋棄了使用對稱加密算法對受害機器信息進行加密,換用了自定義的異或算法加密。

四、歸屬研判

Lazarus組織的NukeSped家族後門歷史悠久期間衍生了多個版本變種,此次捕獲到的後門軟件在某些地方讓人不禁聯想到NukeSped家族後門。

在ESET公司2018年Lazarus行動總結報告[1][2]中披露有用於命令行格式化字符串多次被Lazarus所使用。

圖表 11:所披露用於的格式化字符

此次活動中使用的後門程序中回傳命令執行代碼。

圖 12:此次事件樣本

以往Lazarus活動中使用的NukeSped後門樣本中的回傳命令執行代碼,對比之下幾乎一致。

圖 13:0ae1172aaca0ed4b63c7c5f5b1739294(以往)

此次攻擊活動中發現的後門程序和以往披露的NukeSped家族後門一樣習慣使用硬編碼存儲C&C服務器地址和端口信息,習慣在代碼中引用隨機數,以及其標誌性的後門指令都讓人聯繫到Lazarus組織的NukeSped家族後門。

因此我們有理由懷疑此次攻擊活動中使用的後門軟件是Lazarus組織所使用的NukeSped家族後門某一變種。

圖14:此次事件中後門指令的識別於執行

以往的NukeSped家族後門指令提取。

圖15:後門指令格式

附錄 IOC

10d0ad8268ced4558153c235d0b95fdf
d71a8f5d20bf54ea9004881dd94a14e2
90231bdcab5532fec182f0150e001634
db5c662750952b87fc9d7e820664acc6(密文數據)
3099980ca44cae6a68887bbcb37ac5e6

droidnation[.]net/nation.php

參考

[1]
https://www.virusbulletin.com/uploads/pdf/magazine/2018/VB2018-Kalnai-Poslusny.pdf
[2]

https://github.com/eset/malware-ioc/blob/master/nukesped_lazarus/README.adoc



360高級威脅研究院

360高級威脅研究院是360數字安全集團的核心能力支持部門,由360資深安全專家組成,專注於高級威脅的發現、防禦、處置和研究,曾在全球範圍內率先捕獲雙殺、雙星、噩夢公式等多起業界知名的0day在野攻擊,獨家披露多個國家級APT組織的高級行動,贏得業內外的廣泛認可,為360保障國家網絡安全提供有力支撐。
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()