数字经济的安全基石

Menu

申请试用

> 关于我们 > 安恒动态 > 2019 > 正文

fnt_36">利用网络空间探测引擎跟踪Lazarus组织的活动痕迹

阅读量:

摘要

Lazarus是来自朝鲜的APT组织,该组织通常使用鱼叉式钓鱼邮件作为样本投递手段,主要以韩国和美国为攻击目标,其攻击活动还涉及金融和数字货币等领域。本次分析结合了网络空间测绘探测技术跟踪到该组织相关Rat程序的网络基础设施活动痕迹。

 

背景

本次获取到的三个Lazarus组织样本公开时间在2019年6月左右,被ExeStealth V2壳加密。三份样本的架构和硬编码C2完全一致。样本主体是Lazarus组织使用的Rat程序,属于APT攻击感染链的末端。Rat中的C2通信指令非常基础,可通过不同的组合构造出高级指令,功能至少包括文件上传、路径遍历、文件下载和远程执行等。

 

样本分析

伪装信息

样本利用伪造的资源信息,伪装成“Adobe Reader”的可执行程序:

壳信息

样本使用ExeStealth V2壳:

使用SEH进行反调试:

字符串加密

样本使用了多种字符串加密手段,其中最主要的解密方法是部分字符位移,函数和部分字符串使用的解密秘钥不同,但整体架构一致,下面给出解密脚本:

从样本中共解密出101个函数和一些特征字符串信息,解码后的样本主要编程环境为朝鲜语(ko-KR),通信使用的User-Agent为“User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) Chrome/28.0.1500.95 Safari/537.36”。

伪装的服务端信息:

以表单方式上传:

提交数据的POST路径:

虚假证书

样本利用以下网站域名制作的虚假证书进行通信:

内置脚本

样本中硬编码的脚本如下:

C2指令

共分析出28个C2功能,C2指令流程图如下:

C2指令中包含非常多的基础功能,包括文件获取、磁盘遍历、写文件、重启删除、进程创建、CMD命令执行等,通过组合方式构造成高级指令执行。

 

与友商分析的其他样本在指令区间有稍有不同,大于0x12348C或小于0x123459都无效,0x12347A为操作成功指令码、0x12345C为操作失败指令码。

 

内置IP

样本内置的两个IP地址分别为218.103.37.229和23.115.75.188。

 

活动跟踪

2019年9月美国宣布加强对朝鲜的制裁,本次分析的Lazarus样本活跃时期初步推测在该轮制裁之前。通过网络空间测绘探测技术,我们了解到IP:23.115.75.188在2019年6月1日开放过443端口:

另一基础设施IP:218.103.37.229在2019年8月28日开放过FTP端口:

网络空间测绘得到的线索与我们从样本中获知的信息相对应,从另一维度向我们描述Lazarus组织的网络活动痕迹。

 

参考链接

https://www.secpulse.com/archives/99324.html

https://www.freebuf.com/articles/network/164511.html

https://www.freebuf.com/sectool/154259.html

 

IOC

关闭

相关推荐

客服在线咨询入口,期待与您交流

线上咨询

售前

售后

咨询电话:400-6059-110

产品试用

即刻预约免费试用,我们将在24小时内联系您

微信咨询
安恒信息联系方式
分享到: 文心一言 百度知道 支付宝 微博 QQ空间 QQ 豆瓣 知乎 CSDN 博客园 简书 百家号 搜狐号 网易号 腾讯
百度 搜狗 360搜索 小米粉丝攻击《经济观察报》首席记者! 关于这次事故,要结合noa和通报来看 模仿不同国家的气象主播,差别真的很大!!当然最经典的还是在最后~ 我真是大明星 十日终焉 
      <code id='9f35a'></code><style id='4059a'></style>
      • <acronym id='495b4'></acronym>
      <center id='40702'><center id='c029e'><tfoot id='ffb07'></tfoot></center><abbr id='7c0f1'><dir id='11c43'><tfoot id='07b0b'></tfoot><noframes id='5862c'>
      • <optgroup id='c645b'><strike id='9732d'><sup id='47b49'></sup></strike><code id='5ba09'></code></optgroup>
        5. <b id='66d76'><label id='9d555'><select id='4b972'><dt id='70bc5'><span id='7e73b'></span></dt></select></label></b><u id='ea7f2'></u>
          <i id='d16cd'><strike id='c349f'><tt id='2b43e'><pre id='5faa0'></pre></tt></strike></i>