银河集团

数字经济的安全基石

首页 > 关于我们 > 银河集团动态 > 2019 > 正文

利用网络空间探测引擎跟踪Lazarus组织的活动痕迹

阅读量:

摘要

Lazarus是来自朝鲜的APT组织,该组织通常使用鱼叉式钓鱼邮件作为样本投递手段,主要以韩国和美国为攻击目标,其攻击活动还涉及金融和数字货币等领域。本次分析结合了网络空间测绘探测技术跟踪到该组织相关Rat程序的网络基础设施活动痕迹。

 

背景

本次获取到的三个Lazarus组织样本公开时间在2019年6月左右,被ExeStealth V2壳加密。三份样本的架构和硬编码C2完全一致。样本主体是Lazarus组织使用的Rat程序,属于APT攻击感染链的末端。Rat中的C2通信指令非常基础,可通过不同的组合构造出高级指令,功能至少包括文件上传、路径遍历、文件下载和远程执行等。

 

样本分析

伪装信息

样本利用伪造的资源信息,伪装成“Adobe Reader”的可执行程序:

壳信息

样本使用ExeStealth V2壳:

使用SEH进行反调试:

字符串加密

样本使用了多种字符串加密手段,其中最主要的解密方法是部分字符位移,函数和部分字符串使用的解密秘钥不同,但整体架构一致,下面给出解密脚本:

从样本中共解密出101个函数和一些特征字符串信息,解码后的样本主要编程环境为朝鲜语(ko-KR),通信使用的User-Agent为“User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) Chrome/28.0.1500.95 Safari/537.36”。

伪装的服务端信息:

以表单方式上传:

提交数据的POST路径:

虚假证书

样本利用以下网站域名制作的虚假证书进行通信:

内置脚本

样本中硬编码的脚本如下:

C2指令

共分析出28个C2功能,C2指令流程图如下:

C2指令中包含非常多的基础功能,包括文件获取、磁盘遍历、写文件、重启删除、进程创建、CMD命令执行等,通过组合方式构造成高级指令执行。

 

与友商分析的其他样本在指令区间有稍有不同,大于0x12348C或小于0x123459都无效,0x12347A为操作成功指令码、0x12345C为操作失败指令码。

 

内置IP

样本内置的两个IP地址分别为218.103.37.229和23.115.75.188。

 

活动跟踪

2019年9月美国宣布加强对朝鲜的制裁,本次分析的Lazarus样本活跃时期初步推测在该轮制裁之前。通过网络空间测绘探测技术,我们了解到IP:23.115.75.188在2019年6月1日开放过443端口:

另一基础设施IP:218.103.37.229在2019年8月28日开放过FTP端口:

网络空间测绘得到的线索与我们从样本中获知的信息相对应,从另一维度向我们描述Lazarus组织的网络活动痕迹。

 

参考链接

http://www.secpulse.com/archives/99324.html

http://www.freebuf.com/articles/network/164511.html

http://www.freebuf.com/sectool/154259.html

 

IOC

关闭

客服在线咨询入口,期待与您交流

线上咨询
联系我们

咨询电话:400-6059-110

产品试用

即刻预约免费试用,我们将在24小时内联系您

微信咨询
银河集团信息联系方式