分析朝鲜黑客Lazarus工具

很少有黑客组织能像Lazarus那样臭名昭著。自2007年首次出现以来,他们一直在进行大规模的网络间谍活动。2007年攻击韩国政府网站;2014年攻击Sony网站;2016年入侵Bangladeshi银行。这些大规模、精心组织的黑客行为使Lazarus成为世界著名的黑客组织。他们发布的一些黑客工具也很流行。

RATANKBA恶意软件是他们的黑客军火库之一。自2016年下半年使用以来,该恶意软件主要针对金融机构的水坑攻击。它的变种TROJ_RATANKBA。A针对银行机构。通过2017年6月对两者的分析,发现他们已经从以前的windows系统中可移植可执行文件演变为Powershell脚本文件。

此外,Lazarus还建立了几个临时数据服务器来存储他们的**数据。进入后端数据库后,发现了许多有价值的攻击信息和数据:

1.超过55%的受害者在印度或周边国家,这表明Lazarous黑客组织早期实践的目标可能是针对南亚或他们估计需要收集南亚的数据信息。他们正在为未来的类似攻击做练习。

2.大多数受害者不使用微软企业版的操作系统,这表明RATANKBA恶意软件主要入侵小企业或个人用户,大企业客户可能使用其他黑客工具。

3.受害者的IP地址也记录在Lazarus黑客组织的攻击日志中。通过WHOIS查询,发现大型银行或金融机构没有IP地址,只定位在印度的三个IP地址。

RATANKBA通过微软的办公文件格式。CHM文件格式。脚本文件传播。使用这些文件格式的主要原因是,这些格式通常用于软件开发或虚拟数字货币。因此,可以推断,虚拟数字货币的升值是黑客攻击的源泉。

RATANKBA伪装如下:

一旦用户打开文件,后门将植入受害者的计算机,然后与远程命令服务器通信。HTTPGET或POST用于发送信息:

1.将受害者的电脑信息发送到服务器:HTTPPOSTO{script}.jspaction=baseinfo&u=XXX。

2.检查后门程序是否仍未完成任务:HTTPGETo{script}.jspaction=What&u=XXX。

从上面可以看出,后门程序不仅承担上传受害者信息的任务,还需要执行服务器发送的以下任务:

1.killkill:停止后门程序。

2.interval:更改后门程序的间隔时间默认为120秒。

3.cmd:执行脚本命令。

4.exe:从指定URL下载DLL文件并运行。

除了后门程序的运行外,黑客还可以使用微软WMI命令行工具检查系统中的感染过程,然后将其发送到远程服务器:

1.c:Windowssystem32cmd.exe/cwmicprocesprocesssid,com**ndline,sessionid|findstrsyswow

2.c:Windowssystem32cmd.exe/cwmicprocessprocessid,com**ndline,sessionid|findstrx86

通过对RATANKBA远程控制工具的分析,发现黑客可以控制任何被感染的主机执行任务,并在服务器上按顺序安排需要完成任务的主机。RATANKBA重复释放和执行任务以获取信息。

RATANKBA恶意程序不需要服务器和后门程序进行实时通信,通常使用PUSH信息推送将信息传输到服务器和主机。控制器端使用图形界面将命令发送到服务器,后门程序将自动检查服务器是否有完成的任务。控制器将自动从服务器上下载感染计算机的信息,服务器将删除信息,不保留信息。控制器可以向服务器发送单独的任务或全球任务,以下是RATANKBA控制器的功能:

命令功能

获取服务器时间。

删除已下载的感染主机信息。

删除已下载信息的连接日志文件。

Kill:发布任务,完成后门程序。

Inject发布DLL注入任务。

修改间隔时间。

CMD发布命令任务。

delete_cmd的任务。

broadcast_cmd:广播全局任务。

RATANKBA控制器使用NimoSoftwareHTPriever1.0客户端字符串进行通信。控制器和后门程序的通信协议如下:

do**in>/jspaction=`。

RATANKBA最明显的变化是由Powershell编写的,最早的版本是windows可移植可执行文件格式。这种变化是为了防止杀软发现。虽然文件格式已经改变,但协议仍然相同。以下截图是两种文件格式C/C+和Powershell代码的比较:

目前,我不知道Lazarus黑客组织中的黑客是谁,但从获得的背景数据和黑客的行为模式中,我发现其中一些黑客是母语为韩语的黑客,或者至少是非常流利的韩语黑客,至少有一个黑客懂汉语。这些黑客对虚拟数字货币非常感兴趣,比如比特币和小蚂蚁币,其中一个也卖得很好:

由于Lazarous黑客组织使用了各种技术和工具,并且仍在不断改进,因此有必要将各种不同的策略结合起来,以有效地防止他们的攻击。例如,定期的网络安全扫描可以有效地防止恶意软件的传播,教育员工防止社会工程攻击,也可以防止恶意软件的攻击。此外,还需要加强企业计算机的多层安全防护措施,及时更新防毒软件,设置员工访问权限等。

以下是RATANKBA恶意程序的Hash值:

BKDR_RATANKBA.ZAEL-A。

1768f2e9cea5f8c97007c6f82531c1c9043c15187c54ebfb28980ff63d666。

6cac0be2120be7b3592fe4e1f7c86f4abc7b168d058e07d8975bf1eafd7cb25。

d84477dcafcde862b9472b6cd442c50ca53505ef2f5a4f0e26a。

db8163d054a35522dec35743cfd2c9872。

© 版权声明
THE END
喜欢就支持以下吧
点赞14
分享
相关推荐
  • 暂无相关文章
  • 评论 抢沙发
    Kico的头像-源码客

    昵称

    取消
    昵称表情图片