云安全
态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
利用网络空间探测引擎跟踪Lazarus组织的活动痕迹
摘要
Lazarus是来自朝鲜的APT组织,该组织通常使用鱼叉式钓鱼邮件作为样本投递手段,主要以韩国和美国为攻击目标,其攻击活动还涉及金融和数字货币等领域。本次分析结合了网络空间测绘探测技术跟踪到该组织相关Rat程序的网络基础设施活动痕迹。
背景
本次获取到的三个Lazarus组织样本公开时间在2019年6月左右,被ExeStealth V2壳加密。三份样本的架构和硬编码C2完全一致。样本主体是Lazarus组织使用的Rat程序,属于APT攻击感染链的末端。Rat中的C2通信指令非常基础,可通过不同的组合构造出高级指令,功能至少包括文件上传、路径遍历、文件下载和远程执行等。
样本分析
伪装信息
样本利用伪造的资源信息,伪装成“Adobe Reader”的可执行程序:
壳信息
样本使用ExeStealth V2壳:
使用SEH进行反调试:
字符串加密
样本使用了多种字符串加密手段,其中最主要的解密方法是部分字符位移,函数和部分字符串使用的解密秘钥不同,但整体架构一致,下面给出解密脚本:
从样本中共解密出101个函数和一些特征字符串信息,解码后的样本主要编程环境为朝鲜语(ko-KR),通信使用的User-Agent为“User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) Chrome/28.0.1500.95 Safari/537.36”。
伪装的服务端信息:
以表单方式上传:
提交数据的POST路径:
虚假证书
样本利用以下网站域名制作的虚假证书进行通信:
内置脚本
样本中硬编码的脚本如下:
C2指令
共分析出28个C2功能,C2指令流程图如下:
C2指令中包含非常多的基础功能,包括文件获取、磁盘遍历、写文件、重启删除、进程创建、CMD命令执行等,通过组合方式构造成高级指令执行。
与友商分析的其他样本在指令区间有稍有不同,大于0x12348C或小于0x123459都无效,0x12347A为操作成功指令码、0x12345C为操作失败指令码。
内置IP
样本内置的两个IP地址分别为218.103.37.229和23.115.75.188。
活动跟踪
2019年9月美国宣布加强对朝鲜的制裁,本次分析的Lazarus样本活跃时期初步推测在该轮制裁之前。通过网络空间测绘探测技术,我们了解到IP:23.115.75.188在2019年6月1日开放过443端口:
另一基础设施IP:218.103.37.229在2019年8月28日开放过FTP端口:
网络空间测绘得到的线索与我们从样本中获知的信息相对应,从另一维度向我们描述Lazarus组织的网络活动痕迹。
参考链接
https://www.secpulse.com/archives/99324.html
https://www.freebuf.com/articles/network/164511.html
https://www.freebuf.com/sectool/154259.html
IOC
