1 概述
Lazarus组织近期利用社交平台实施新型钓鱼攻击,通过社交平台诱导受害者使用被改造成木马的开源软件,从而获取到受害主机的控制权限哈希校验工具苹果版。观成科技安全研究团队发现该组织在某次攻击活动中使用了被改造成木马的开源软件UltraVNC。UltraVNC是一款开源的远程管理工具,Lazarus组织在该工具中嵌入了恶意下载器。下载器会从C&C服务器(互联网失陷主机)获取恶意DLL并在内存中加载,与服务器的C&C通信全程使用加密协议,加密载荷里的通信交互数据本身又使用了自定义的加密方式进行二次加密。
2 通信过程
该样本类型为ISO,其中包含两个文件:Amazon_Assessment.exe、ReadMe.txt哈希校验工具苹果版。木马化UltraVNC执行后,通过文件。
图 2-1 木马化UltraVNC通信过程图
2.1 上线
木马化的UltraVNC获取注册表键值”HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemBIOSSystemManufacturer”,即受害主机的生产厂商信息和工作组名称,用“|”符号连接后进行编码并附加在样本中硬编码的URL后面,形如:中的①。 展开全文
图 2-2 上线包()
图 2-3 上线包(解密后)
2.2 解密释放恶意DLL
攻击者通过社交平台诱导受害者使用木马化的UltraVNC连接ReadMe.txt中记录的IP 54.182.16.65后,见图2-1中的②
哈希校验工具苹果版。UltraVNC中攻击者添加的代码会计算该IP字符串的哈希值,将其作为密钥,循环异或解密样本中包含的恶意Dll文件,并在当前进程中加载运行。 2.3 上传系统信息
恶意DLL获取电脑名、系统磁盘信息、用户名、当前进程ID等信息,生成随机数作为通信校验的key(也用于URI生成)
哈希校验工具苹果版。
图 2-4 DLL中硬编码的通信URL
图 2-5 上传信息数据(加密前)
DLL对数据进行ZIP压缩+自定义加密+编码处理后使用中的③
哈希校验工具苹果版。
图 2-6 上传系统信息()
图 2-7 POST上传系统信息(解密后)
图 2-8 自定义加密算法
2.4 URI生成
DLL除上线包外使用的URI均随机生成,URI参数数量为1到3个
哈希校验工具苹果版。DLL首先生成第一个随机数用来选择不同的参数,参数列表如下图所示,再生成第二个随机数来决定参数的值,参数值可以是随机字符串,也可以是参数字符串与通信检验的Key加法运算后的数据。
图 2-9 通信随机选取的部分参数列表图
2.5 下发后续攻击载荷
该DLL在使用POST请求上传系统信息后,每分钟向目标URL发送无载荷GET请求,用来获取下阶段攻击载荷
哈希校验工具苹果版。C&C服务器下发的数据也经过了ZIP压缩+自定义加密+编码。该DLL接收到下发的数据后解密,解密后的数据包含URL(用来替换样本通信的URL)以及扩展DLL文件,样本会加载运行下载的扩展DLL,作为下阶段攻击载荷,见图2-1中的④。
图 2-10 模拟服务器下发后续载荷格式图
3 总结
Lazarus组织在该款木马化开源工具中硬编码了多个常见的URL参数字段,发送心跳包时,使用随机数来选择参数、生成参数的值,导致了心跳包长度不固定,弱化了加密通信中的数据长度特征
哈希校验工具苹果版。Lazarus组织使用的C&C服务器为失陷主机,TLS通信证书为失陷主机的正常次的心跳行为,虽然心跳包长度并不固定,但是长度是在一定范围内变化的,具有一定流行为特征。
