利用网络空间探测引擎跟踪lazarus组织的活动痕迹-龙8app登录

利用网络空间探测引擎跟踪lazarus组织的活动痕迹 发布时间:2019-10-24 20:02:46 来源:


摘要

lazarus是来自朝鲜的apt组织,该组织通常使用鱼叉式钓鱼邮件作为样本投递手段,主要以韩国和美国为攻击目标,其攻击活动还涉及金融和数字货币等领域。本次分析结合了网络空间测绘探测技术跟踪到该组织相关rat程序的网络基础设施活动痕迹。

 

背景

本次获取到的三个lazarus组织样本公开时间在2019年6月左右,被exestealth v2壳加密。三份样本的架构和硬编码c2完全一致。样本主体是lazarus组织使用的rat程序,属于apt攻击感染链的末端。rat中的c2通信指令非常基础,可通过不同的组合构造出高级指令,功能至少包括文件上传、路径遍历、文件下载和远程执行等。

 

样本分析

伪装信息

样本利用伪造的资源信息,伪装成“adobe reader”的可执行程序:

壳信息

样本使用exestealth v2壳:

使用seh进行反调试:

字符串加密

样本使用了多种字符串加密手段,其中最主要的解密方法是部分字符位移,函数和部分字符串使用的解密秘钥不同,但整体架构一致,下面给出解密脚本:

从样本中共解密出101个函数和一些特征字符串信息,解码后的样本主要编程环境为朝鲜语(ko-kr),通信使用的user-agent为“user-agent: mozilla/5.0 (windows nt 6.1; wow64) chrome/28.0.1500.95 safari/537.36”。

伪装的服务端信息:

以表单方式上传:

提交数据的post路径:

虚假证书

样本利用以下网站域名制作的虚假证书进行通信:

内置脚本

样本中硬编码的脚本如下:

c2指令

共分析出28个c2功能,c2指令流程图如下:

c2指令中包含非常多的基础功能,包括文件获取、磁盘遍历、写文件、重启删除、进程创建、cmd命令执行等,通过组合方式构造成高级指令执行。

 

与友商分析的其他样本在指令区间有稍有不同,大于0x12348c或小于0x123459都无效,0x12347a为操作成功指令码、0x12345c为操作失败指令码。

 

内置ip

样本内置的两个ip地址分别为218.103.37.229和23.115.75.188。

 

活动跟踪

2019年9月美国宣布加强对朝鲜的制裁,本次分析的lazarus样本活跃时期初步推测在该轮制裁之前。通过网络空间测绘探测技术,我们了解到ip:23.115.75.188在2019年6月1日开放过443端口:

另一基础设施ip:218.103.37.229在2019年8月28日开放过ftp端口:

网络空间测绘得到的线索与我们从样本中获知的信息相对应,从另一维度向我们描述lazarus组织的网络活动痕迹。

 

参考链接

https://www.secpulse.com/archives/99324.html

https://www.freebuf.com/articles/network/164511.html

https://www.freebuf.com/sectool/154259.html

 

ioc

网站地图