Lazarus是来自朝鲜的APT组织,该组织长期对韩国、美国进行渗透攻击,此外还对全球的金融机构进行攻击,堪称全球金融机构的最大威胁。下面为近半年该组织的一些最新动态以及所使用的技术手段。
Manuscrypt是该组织最常用的恶意软件家族,此前被用来攻击政府,近期用来针对金融企业进行攻击。该家族木马历史可以追溯到2013年,一直沿用至今日,也是最能体现Lazarus组织代码风格的家族。并且在对该家族对于Lazarus的C&C服务器复用的频率也是比较高的,因此需要重点关注。
由于朝韩关系,两国互相进行网络安全攻击已成常态,而其中,HWP文件,这种被韩国政府或企业用来处理韩文格式的文档格式变成了一种流行的攻击载体。以下是该组织利用hwp历次不同攻击中的变化演进情况:(时间从早到晚排序)
1、利用Postscript释放内嵌的Manuscrypt的二进制文件,释放到%startup%以便驻留系统。
2、开始利用Postscript漏洞,使用4字节的XOR密钥解码shellcode,exploit和payload。
有趣的是,代码开始存在中文变量像yaoshi;yima;yinzi
3、移除了解码器,直接写触发postscript的漏洞代码,最后仍使用4字节的XOR密钥解码payload。
4、开始用AES算法解密payload
5、增设一次一字节XOR解码shellcode
6、更改Shellcode功能只用来下载payload,也就是Manuscrypt
而近期,该组织最常用的漏洞为CVE-2017-8291,是PostScript语言的解析器Ghostscript的漏洞,该漏洞同样可以对支持Ghostscript的hangul办公软件进行利用。而hangul为支持hwp文件的常用的韩文办公软件。
从shellcode代码层面出发,复用率极高。
具体shellcode执行流程如下:
1、寻找解密密钥
2、通过hash获取API
3、获取句柄
4、解密payload
5、注入正常程序
当shellcode注入完成,执行Manuscrypt主体并开始发送窃密信息后,该信息流会经过多层代理最后才到达真正的攻击者服务器中。
而其中存在一个代理模块,其实际为P2P代理,其会启动多个线程,具体步骤如下图所示。
从Manuscrypt的C&C服务器分布方面来看,该组织资产丰富,不得不叹服。
综上所示,从代码层面可以看出该组织的特征,但是从资产追踪上来看,很难真正溯源到该组织存储用户数据的C&C服务器,因此对该组织的追踪仍需继续深入研究。
当然,除了利用hwp投放Manuscrypt,利用宏投放FallChill木马也是该组织的一大作风,像下面的宏代码中的算法结构几乎一致。
FALLCHILL使用伪传输层安全(TLS)通信,使用以下密钥使用RC4加密对数据进行编码:[0d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00 03 82]。FALLCHILL收集基本系统信息并向C2发送以下信息:
操作系统(OS)版本信息,
处理器信息,
系统名称,
本地IP地址信息,
唯一生成的ID,和
媒体访问控制(MAC)地址。
FALLCHILL包含以下用于远程操作的内置函数,这些函数在受害者系统上提供各种功能:
检索有关所有已安装磁盘的信息,包括磁盘类型和磁盘上的可用空间量;
创建,启动和终止新进程及其主线程;
搜索,读取,写入,移动和执行文件;
获取并修改文件或目录时间戳;
更改进程或文件的当前目录; 和
从受感染的系统中删除与恶意软件相关的恶意软件和工件。
下图为Fallchill接收消息并执行命令的各个函数,具有较鲜明的代码层。
今日情报
一堆ioc
https://blog.talosintelligence.com/2018/07/threat-roundup-0629-0706.html
