新闻快讯
< >

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击

TAG: 高级可持续性攻击、Lazarus、拉撒路、APT、亚洲地区、基础设施、韩国

TLP:白

最后更新日期:2017-09-23

概要

Lazarus(拉撒路),又名Hidden Cobra,该黑客组织于2009 年开始活跃,除长期针对韩国政府、金融、媒体等行业实施渗透攻击外,还被指与入侵索尼影业(2014年)、盗取孟加拉央行8100万美元(2016年)等重大攻击事件有关。

微步在线长期跟踪全球超过100个黑客团伙组织。微步威胁情报系统显示,Lazarus目前仍然活跃,除继续针对韩国、美国开展渗透攻击,已开始将触手伸向亚洲其他国家。由于其主要使用入侵的合法网站服务器作为C&C(远程控制)服务器,且基础设施和通信过程与中国存在较大联系,对我国的潜在危害巨大。具体内容包括:

  • Lazarus近期使用的攻击基础设施中属地为中国的IP地址共9个,其中中国广东的C&C服务器(119.29.11.203)仍然存活。

  • 木马与C&C服务器的通信过程会包含失效的数字证书,涉及Google、Apple、Yahoo!、Github以及Baidu、Lenovo等国内外大型网站,以规避检测。

  • 微步在线捕获了该组织最新使用的攻击文档,文档伪装为面向亚洲地区财务、管理人员的招聘信息,并使用宏脚本植入后门程序。

  • 后门程序设计功能相对复杂,能够根据攻击者发送指令实现上传系统信息、创建文件、进程等操作,使得系统环境和功能操作完全在控制者的掌握之中,危害较大。

  • 微步在线关联发现,近期针对韩国的一系列网络攻击活动中,攻击者使用了相似的手法和木马后门,判断同为Lazarus团伙所为。

  • 深入分析显示,Lazarus团伙在全球范围内至少有25个C&C服务器(其中9台主机仍在工作),其中大部分IP存在合法网站,推测应为被攻陷后作为C&C使用。

  • 微步通过对针对本次事件提取 IOC(威胁情报攻陷指标)37条,部署微步在线威胁情报平台的用户,可通过系统告警定位到失陷主机,并使用微步在线提供的应急响应予以分析和处理。

详情

微步在线长期跟踪超过100个黑客团伙组织,微步威胁情报系统显示,Lazarus目前仍然活跃。通过对捕获的一份文档(JD53323.doc)分析显示,其编辑时间为2017年8月21日,打开后会提示“该文档由新版本创建,需点击允许编辑,并点击启用内容”,诱导用户启用宏。

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

宏脚本执行后会在用户临时文件夹释放并执行后门程序“lsm.exe”和一份正常的Word文档,主题为面向亚洲地区招聘财务人员的职位要求,以掩盖其攻击行为。

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

另一份8月6日制作恶意文档会释放同样的后门程序“lsm.exe”,释放的诱饵文档伪装成IBM公司在菲律宾招聘要求。

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

微步在线进行了样本分析和关联分析:

样本分析

微步在线近日捕获的样本基本信息如下:

文件类型Word文档
文件大小621,056 字节
MD58c02007880260a94564179b88cc9dd72
SHA1f743767ce2570b001cae335d0a7562b749adadcd
SHA25676e0eec565f4e50b57d74fb1a09ea9e356da0709cba3d5dab9b3702ba19d662c
时间戳2017-08-21 23:19

该样本在微步威胁分析平台的检测结果为:

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

页面链接:https://x.threatbook.cn/report/8c02007880260a94564179b88cc9dd72

分析发现,该样本是一个Word文档,其中嵌入了恶意的宏。在诱骗用户允许开始运行后,该恶意宏将在系统临时释放一个PE文件并运行,文件名为lsm.exe。lsm.exe原本是用于Windows本地会话管理器服务的系统进程,该恶意样本以此作为释放文件的文件名,意在混淆视听。该PE文件的基本信息如下:

文件类型PE32 executable (GUI) Intel 80386, for MS Windows
文件大小152000 字节
MD5cc23f830fe33371e4c59502e87e28745
SHA19803f5f84608506acbebb655440029709150d2b2
SHA256a4a2e47161bbf5f6c1d5b1b3fba26a19dbfcdcf4eb575b56bde05c674089ae95
时间戳2017-08-04 14:01:03

该样本在分析平台的检测结果为:

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

页面链接:https://x.threatbook.cn/report/9803f5f84608506acbebb655440029709150d2b2

样本运行整体流程图如下:

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

恶意样本lsm.exe的具体行为如下:

  1. 检查并设置相关注册表键值,其中,注册表键值的内容均通过对硬编码的密文进行动态解密来获得。如果存在这些键值,则说明样本已经运行,直接退出;若不存在,则在注册表中写入相关键值,样本将继续执行。

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

2. 建立基于Select模型的SOCKET网络通信,对FD_Set进行初始化,完成Select模型的准备工作。

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

3.在完成FD_Set的初始化后,样本通过使用ioctlsocket函数,设置SOCKET为非阻塞模式,然后调用connect函数连接C&C服务器,开启虚电路通信。接着调用 select函数和_WSAFDIsSet函数来测试本机与C&C服务器之间的连通性,最后,使用ioctlsocket函数将SOCKET重置为阻塞模式。

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

4. 构造虚假的TLS通信(Fake TLS)。

样本按照TLS通信协议,构造一个虚假的TLS通信来迷惑分析人员,让网络流量看起来像是正常的TLS握手和通信的过程。

首先,发送5个字节的数据,其中,前三个字节“16 03 01”为固定字节,后两个字节预示着本机要发送的下一个包的大小,如下图中后两个字节为00 A0,即下一个包的大小为0xA0(十进制160)字节。

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

接着,发送下一个封包,其中包含一个知名网站的域名,如下图中的“www.baidu.com”。在虚假的

TLS通信中,本机将向C&C服务器请求这个域名的证书,等待服务器返回。

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

域名将在以下列表中随机选取(共20个):

www.wikipedia.orgwww.microsoft.comwww.dropbox.comwww.baidu.com
www.wetransfer.comwww.lenovo.comwww.debian.orgwww.apple.com
www.twitter.comwww.google.comwww.comodo.comweb.whatsapp.com
www.tumblr.comwww.github.comwww.bitcoin.orguk.yahoo.com
www.paypal.comwww.facebook.comwww.bing.commyservice.xbox.com

服务器将先返回5个字节的数据包,格式与本机发送的包格式相同,前3个字节固定,后2个字节预示下一个包的大小。

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

之后,服务器将发送本机所请求的域名证书。

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

把证书Dump出来,保存为cert文件,得到了baidu.cer,即C&C服务器返回的虚假百度证书。

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

该证书没有足够信息,无法进行验证,且已于2015年6月10日过期,是一个明显的无效证书。

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

5.建立后门,等待来自C&C服务器的控制码

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

6. 根据C&C服务器发送的指令,执行相应的恶意行为,并将操作结果返回给C&C服务器。样本中使用一个大的分支选择(switch…case)结构,从十六进制的0x8001至0x8026,共38个不同的控制码,分别进行处理。

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

控制码对应执行的功能主要有上传本机信息类,如上传当前工作目录,当前进程信息,当前系统临时目录等,也有执行特定功能类,如创建文件、创建进程、关闭进程等,使得主机的当前信息及相关行为几乎完全在控制者的掌握之中。

在控制码0x8003执行的功能中,系统将创建并运行一个.bat批处理文件,该文件将对批处理文件本身、lsm.exe样本文件以及中间生成的临时文件执行自删除功能,清除操作痕迹。

国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击-E安全

关联分析

1、韩国HWP软件攻击

9月14日,趋势科技发布文章

http://blog.trendmicro.com/trendlabs-security-intelligence/hangul-word-processor-postscript-abused-malicious-attachments/

称,有黑客利用韩国文字处理软件Hangul Word Processor(HWP)的PostScript功能执行恶意指令,诱饵文件的主题包括“比特币”和“金融安全标准化”等,但未对攻击细节进行进一步描述。

微步在线对此类样本深入分析发现,自今年5月以来出现的多个HWP文档会利用漏洞释放并启动后门程序,对应样本同样使用Fake TLS方式与C&C服务器的443端口进行通信,仿冒的网站同样包括www.microsoft.com、web.whatsapp.com、www.bing.com和www.paypal.com等,与前文分析的“lsm.exe”系同一类木马,再加上攻击者利用文档传播木马、攻击对象为韩国等特点,基本可以认定幕后团伙即Lazarus。有趣的是,相关木马尝试回连的C&C大多数属于中国和美国(目前均已失活),具体列表如下所示:

IP属地
107.151.199.160美国
203.124.12.88中国香港
203.68.250.10中国台湾
211.149.156.207中国四川
211.149.170.108中国四川
211.154.145.27中国广东
211.161.153.131中国湖北
59.188.15.196中国香港
111.207.78.204中国北京
66.218.35.215美国

2、基础设施和手法复用

该攻击所使用代码和基础设施均与Lazarus团伙高度相似和重复。例如:宏代码的复用、XOR keys、直连IP(而不是使用域名)、复用了以前攻击中使用过的IP地址、Fake TLS通讯等。

此外,Palo Alto Networks曾与2017年8月发布文章称捕获到一批类似的使用恶意Word文档,文件主题与美国国防承包商工作内容及内部政策有关,攻击目标疑为美国国防承包商。文档内包含宏脚本,启动后会释放后门程序,该手法及样本特征与Lazarus团伙高度吻合。本次微步在线捕获的文档与Palo Alto Networks发现的攻击样本高度相似。

3、更多黑客基础设施

微步在线威胁情报系统显示,目前仍有至少9台被Lazarus团伙用于攻击的主机活跃,涉及中国、美国、韩国等多个国家,具体列表如下:

IP属地
119.29.11.203中国广东广州
140.131.145.180中国台北
80.91.118.45美国
98.101.211.142美国
221.138.17.152韩国
211.24.173.24马来西亚
91.213.31.30乌兹别克斯坦
63.143.74.172牙买加
41.131.29.59埃及

反查域名发现,大多数相关IP地址均存在正常网站,但安全防护较差,推测系被Lazarus攻陷后作为C&C服务器使用。

综合上述分析认为,Lazarus团伙除长期针对韩国开展渗透攻击外,已开始将触手伸向其他亚洲国家,由于其主要使用入侵的合法网站服务器作为C&C服务器,且基础设施和通信过程含与中国存在较大联系,对我国的潜在危害极大。

附录

C&C (部分为使用攻陷后的合法网站)

108.222.149.173

118.140.97.6

119.29.11.203

173.208.222.34

59.90.93.97

91.213.31.30

98.101.211.142

211.233.13.62

211.236.42.52

211.49.171.243

176.35.250.93

197.246.6.83

213.152.51.169

221.138.17.152

107.6.12.135

210.202.40.35

111.207.78.204

181.119.19.56

184.107.209.2

80.91.118.45

64.86.34.24

41.131.29.59

63.143.74.172

140.131.145.180

211.24.173.24

木马Hash

76e0eec565f4e50b57d74fb1a09ea9e356da0709cba3d5dab9b3702ba19d662c

758af99c8885c2fdb76a935411c211b50d9ab121fea5e14ec8ca066d2646120e

80b5cc9feb10fac41ee2958ab0f751bf807126e34dcb5435d2869ef1cf7abc41

f09fb9a79bab6a927297e536594027016da7d7ab13e124c76a05889ec107ad02

f1749825cec26ef9f89a5bc81a1cf4d6ef2ba0fe696354ccf32fd56cd469d324

a4a2e47161bbf5f6c1d5b1b3fba26a19dbfcdcf4eb575b56bde05c674089ae95

f7bc5a9fafb0ba4be51f2d2d92742e0bfac43554b309e5a19fd288de5612296a

2cbb06df9efd92f78e7543de9261355d23549f00e9ae582573286956f9caaa62

608d71c0c434302ed6454373e4a83743f4dd4c153572fe9986ca2e29ce9e3e27

9054824509cdfcf4dafa469967a1d6549b559a093bdd9af58817334b2971beb8

9413e45a4078b81662114f27c92f024b6b1b35866f058fa219c8d6f9038d4604

40dc71b7e1e5f68a997ac663e5cbe8f3d2d348c435f2dced01aeead9fba60a90

文章来源:安全威胁情报  原文地址:https://mp.weixin.qq.com/s/Qz3HmCH6aJO1Vl1HUCNlrw