朝鲜国家黑客Lazarus工具分析

很少有黑客组织能像Lazarus这样那么臭名昭著。自从2007年第一次出现后,他们一直进行着大规模的网络间谍活动。2007年攻击韩国政府网站;2014年攻击Sony公司网站;2016年入侵Bangladeshi银行。这些大规模、精心组织的黑客行为让Lazarus成为了全球著名的黑客组织。他们发布的一些黑客工具也随着流行起来。

这其中RATANKBA恶意软件就是他们黑客军火库中的一个。自从2016年下半年开始使用后,这款恶意软件主要针对的是金融机构发起水坑式攻击。它的变种TROJ_RATANKBA.A针对的是银行机构。通过在2017年6月对两者的分析发现,他们已经从之前的windows系统中可移植可执行文件进化成了PowerShell脚本文件。

而且Lazarus还建立了几个临时的数据服务器来存储他们 ** 的数据资料,进入他们的后端数据库后发现了很多有价值的攻击信息和资料:

1、超过55%的受害者都是在印度或周边几个国家,这表明Lazarous黑客组织早期练手的目标可能针对的就是南亚地区或者他们估计需要收集南亚地区的数据信息。他们是在为以后发起类似攻击做演习。

2、大多数的受害者使用的都不是微软企业版操作系统,这说明现阶段RATANKBA恶意软件主要入侵的是小型企业或个人用户,对于大型企业客户他们可能用的是其他黑客工具。

3、Lazarus黑客组织的攻击日志中还记录了受害者的IP地址。通过WHOIS查询后发现没有一个IP地址对应的是大型银行或金融机构,只定位到了印度的3个互的IP地址。

RATANKBA通过微软的办公文件格式、CHM文件格式、脚本文件进行传播。利用这些文件格式的主要原因是这些格式通常是软件开发或虚拟数字货币使用较多的文件格式,因此可以推断虚拟数字货币的升值是这种黑客攻击行为的源动力。

RATANKBA的伪装如下:

一旦用户打开该文件后,后门就会植入到受害者的电脑中,然后会和远程的指令命令服务器通信,整个通信过程使用HTTP GET或POST发送信息:

1、将受害者的电脑信息发送到服务器:HTTP POST to {script}.jsp?action=BaseInfo&u=XXX

2、检查后门程序是否还有未完成任务:HTTP GET to {script}.jsp?action=What&u=XXX

从以上可以看出后门程序既承担了上传受害者信息的任务,还需要执行服务器发送的如下相关任务:

1、Killkill:停止后门程序。

2、interval:更改后门程序的间隔时间,默认为120秒。

3、cmd: 执行脚本命令。

4、exe:从指定URL下载DLL文件并运行。

除了后门程序的运行,黑客还能使用微软WMI命令行工具查看系统中已被感染的进程,然后发送到远程服务器:

1、“C:Windowssystem32cmd.exe” /c “wmic process get processid,com ** ndline,sessionid | findstr SysWOW”

2、“C:Windowssystem32cmd.exe” /c “wmic process get processid,com ** ndline,sessionid | findstr x86”

通过对RATANKBA远程控制工具的分析发现,黑客可以控制任何一台受感染的主机执行任务,还可以在服务器上将需要完成任务的主机按顺序排列。RATANKBA重复释放和执行任务,获取信息。

RATANKBA恶意程序不需要服务器和后门程序进行实时通信,一般都是使用PUSH消息推送方式将信息在服务器和主机将传输。控制器端使用图形化界面将命令发送到服务器,后门程序则会自动向服务器检查是否还有为完成的任务。控制器会自动从服务器上下载受感染电脑的信息,信息下载后服务器就会删除该信息不做保留。控制器既可以向服务器发送单独任务也可以发送全局任务,以下是RATANKBA控制器的功能:

命令 功能

get_time 获取服务器时间

delete_inf 删除已下载的受感染主机信息

delete_con 删除已下载信息的连接日志文件

Kill: 发布任务,结束后门程序

inject 发布DLL注入任务

Interval 修改间隔时间

Cmd 发布命令行任务

delete_cmd 获取任务完成状态并删除已发布的任务

broadcast_cmd: 广播全局任务

RATANKBA控制器使用Nimo Software HTTP Retriever 1.0客户端字符串进行通信。控制器和后门程序的通信协议如下:

<do ** in>/<jsp filename>.jsp?action=<corresponding actions plus additional needed parameters>`

RATANKBA的变种最明显的变化就是用Powershell编写的,而最早的版本是windows可移植可执行文件格式。这种变化是为了不让杀软发现,尽管文件格式改变了,但是协议什么的还是一样。以下的截图是两种文件格式C/C++ 和Powershell代码的比较:

目前还不知道Lazarus黑客组织中的黑客们到底是谁,不过从已获取的后台数据和黑客的行为模式中发现,这些黑客中其中一些是母语为韩语的黑客,或者至少是韩语非常流利的黑客,还有至少一位黑客懂中文。而且这些黑客对虚拟数字货币非常感兴趣,比如像比特币和小蚁币,他们中的一个还卖出了好价钱:

由于Lazarous黑客组织使用的技术和工具多样,而且还在不断改进,因此需要使用多种不同策略相结合才能有效防御他们的攻击。例如定期的网络安全扫描可以有效防止恶意软件的传播,教育员工防范社会工程攻击也可以防止恶意软件的攻击。除此之外,还需要加强企业中电脑的多层安全防护措施,及时更新杀毒软件;设置员工访问权限等。

以下是已被确认的RATANKBA恶意程序的Hash值:

BKDR_RATANKBA.ZAEL-A

1768f2e9cea5f8c97007c6f822531c1c9043c151187c54ebfb289980ff63d666

6cac0be2120be7b3592fe4e1f7c86f4abc7b168d058e07dc8975bf1eafd7cb25

d844777dcafcde8622b9472b6cd442c50ca53a505ef2f5a4f0e26a

db8163d054a35522d0dec35743cfd2c9872e0eb44 ** 67b573a79f84d

f7f2ddc0d67ef1fb7c8ae8dd0b551ee9b6c4405008fe6b

CHM_DLOADER.ZCEL-A

01b047e0f3b49f8ab6ebf6795bc72ba7f63d7acbc68f65f1f8f66e34de827e49

030b4525558f2c411f972d91b144870b388380b59372e1798926cc

10cbb5d0974af08b5d4aa9c753e274a81348da9f8bfcaa5193fad08b79650cda

650d7b814922b58b6580041cb0aa9d27dae7e94e6d8 ** b3b4aa5f1047fca0f

6cb1e9850dd853880bbaf68ea23243bac9c430df576fa1e679d7f26d

6d4415a2cbedc960c7c7055626c61842b3a3ca4718e2ac0e3d2ac0c7ef41b84d

772b9bc9696d87724f8efa2c8c1484853d40b52c6dc6f7759f5db01

9d10911a7bbf26f58b5e885422b878617f8 ** bfdb16195b7cd0f5

d5f9a81df5061c69be9c0ed55fba7d796e1a8ebab7c609ae437c574bd7b30b48

_DLOADER.ZBEL-A

8ff100ca86cb62117f1290e71d5f9c0519661d6c955d9fcfb71f0bbdf75b51b3

X97M_DLOADR.ZBEL-A

972b598d709b66b35900dc21c5225e5f0d474f241fefa890b381089afd7d44ee

VBS_DLOADR.ZAEL-A

4722138dda262a2dca5cbf9acd40f150759c006f56bdba54de0cab

WTT资讯-最新科技资讯,实时网安信息

欢迎关注我们:

@W-Pwn

© 版权声明
THE END
喜欢就支持以下吧
点赞9
分享
相关推荐
  • 暂无相关文章
  • 评论 抢沙发
    源码客的头像-源码客

    昵称

    取消
    昵称表情图片