0
| 本文作者: 李勤 | 2017-11-16 16:21 |
雷鋒網編者按:2017 年 11 月 14 日,美國計算機安全應急響應小組(US-CERT)發布了“Hidden Cobra”團伙(即Lazarus)常用工具 FALLCHILL、Volgmer 的分析報告,指出該團伙具有朝鮮政府背景。微步在線發現,US-CERT 報告中描述的 FALLCHILL 與其發現該團伙最新的后門程序功能特點高度一致。該文為微步在線投稿,雷鋒網在不影響原意的基礎上略有刪減。
1.US-CERT 分析的 FALLCHILL 樣本為該團伙2016年期間使用的早期版本,公布的 IOC 中共計 196 個IP地址,其中美國(44個)、印度(37個)、伊朗(26個)和中國(14個)的等國家占比較高。
2.微步在線近日捕獲了多份偽裝成金融相關行業招聘信息的惡意文檔,執行后會釋放新版的 FALLCHILL 后門。該程序設計功能相對復雜,能夠根據攻擊者發送指令實現上傳系統信息、創建文件、進程等操作,使得系統環境和功能操作完全在控制者的掌握之中,危害較大。
3.FALLCHILL 與 C&C 服務器的通信過程會包含失效的數字證書,涉及 Google、Apple、Yahoo!、Github以及Baidu、Lenovo等國內外大型網站,以規避檢測。
4.近期針對韓國的一系列網絡攻擊活動中,攻擊者使用了相似的手法和木馬工具,判斷同為 Lazarus團伙所為。
5.微 Lazarus 仍在使用的 IP12 個,其中個別主機屬于我國主流云廠商。
6.Lazarus 團伙除繼續針對韓國、美國開展滲透攻擊,已開始將觸手伸向亞洲其他國家的金融行業,其主要使用入侵的合法網站服務器作為C&C(遠程控制)服務器,且基礎設施和通信過程與中國存在較大聯系,對我國的潛在危害巨大。
2017 年 11 月 14 日,US-CERT 發布 Lazarus 團伙 FALLCHILL、Volgmer 兩款木馬的分析報告,指出FALLCHILL(公開的樣本編譯時間為2016年3月)會使用偽造的 TLS 協議與 C&C 通信,并收集受害者主機的操作系統版本、處理器、IP 和 MAC 等基礎信息,同時按照 C&C 指令執行創建文件、刪除文件、創建進程、關閉進程等操作,與我們近期捕獲該組織惡意樣本的功能和特點基本一致。
微步在線最新捕獲該組織使用的惡意文檔名為JD.doc,語言編碼為韓語,最后的修改時間為2017年10月26日。
打開后會提示“該文檔由新版本創建,需點擊允許編輯,并點擊啟用內容”,誘導用戶啟用惡意宏腳本。 
該腳本會打開一份Juno公司(境外比特幣公司)招聘CFO的職位描述文檔,用于迷惑受害者,同時釋放名為“smss.exe”的FALLCHILL工具(編譯時間為2017年10月)。如下圖所示: 
此外,我們還捕獲了多份類似的招聘文檔,主題包括面向亞洲地區招聘財務人員的職位要求(8月21日)和IBM公司在菲律賓招聘要求(8月6日)等,釋放的惡意樣本屬于較新版本的FALLCHILL。 
樣本分析
微步在線對最新生成的 FALLCHILL 分析發現,此類工具由誘餌文檔釋放并執行,通常命名為系統進程以混淆視聽,具體行為如下:
1、 檢查并設置相關注冊表鍵值,其中,注冊表鍵值的內容均通過對硬編碼的密文進行動態解密來獲得。如果存在這些鍵值,則說明樣本已經運行,直接退出;若不存在,則在注冊表中寫入相關鍵值,樣本將繼續執行。 
2、 建立基于Select模型的SOCKET網絡通信,對FD_Set進行初始化,完成Select模型的準備工作。 
3、 在完成FD_Set的初始化后,樣本通過使用ioctlsocket函數,設置SOCKET為非阻塞模式,然后調用connect函數連接C&C服務器,開啟虛電路通信。接著調用 select函數和_WSAFDIsSet函數來測試本機與C&C服務器之間的連通性,最后,使用ioctlsocket函數將SOCKET重置為阻塞模式。 
4、 構造虛假的TLS通信(Fake TLS)。
樣本按照TLS通信協議,構造一個虛假的TLS通信來迷惑分析人員,讓網絡流量看起來像是正常的TLS握手和通信的過程。
首先,發送5個字節的數據,其中,前三個字節“16 03 01”為固定字節,后兩個字節預示著本機要發送的下一個包的大小,如下圖中后兩個字節為00 A0,即下一個包的大小為0xA0(十進制160)字節。
接著,發送下一個封包,其中包含一個知名網站的域名,如下圖中的“www.baidu.com”。在虛假的
TLS通信中,本機將向C&C服務器請求這個域名的證書,等待服務器返回。
域名將在以下列表中隨機選取(共20個):
服務器將先返回5個字節的數據包,格式與本機發送的包格式相同,前3個字節固定,后2個字
節預示下一個包的大小。 
之后,發送請求域名的證書。 
把證書Dump出來,保存為cert文件,得到了baidu.cer,即C&C服務器返回的虛假百度證書。
該證書沒有足夠信息,無法進行驗證,且已于2015年6月10日過期,是一個明顯的無效證書。 
5、 建立后門,等待來自C&C服務器的控制碼
6、 根據C&C服務器發送的指令,執行相應的惡意行為,并將操作結果返回給C&C服務器。樣本中使用一個大的分支選擇(switch…case)結構,從十六進制的0x8001至0x8026,共38個不同的控制碼,分別進行處理。 
控制碼對應執行的功能主要有上傳本機信息類,如上傳當前工作目錄,當前進程信息,當前系統臨時目錄等,也有執行特定功能類,如創建文件、創建進程、關閉進程等,使得主機的當前信息及相關行為幾乎完全在控制者的掌握之中。
在控制碼0x8003執行的功能中,系統將創建并運行一個.bat批處理文件,該文件將對批處理文件本身、樣本文件以及中間生成的臨時文件執行自刪除功能,清除操作痕跡。
9月14日,趨勢科技發布文章稱,有黑客利用韓國文字處理軟件Hangul Word Processor(HWP)的PostScript功能執行惡意指令,誘餌文件的主題包括“比特幣”和“金融安全標準化”等,但未對攻擊細節進行進一步描述。
我們對 FALLCHILL 類樣本深入分析發現,自今年5月以來出現的多個HWP文檔會利用漏洞釋放并啟動后門程序,對應樣本同樣使用Fake TLS方式與C&C服務器的443端口進行通信,仿冒的網站同樣包括www.microsoft.com、web.whatsapp.com、www.bing.com和www.paypal.com等,所有特征均與該工具完全一致,再加上攻擊者利用文檔傳播木馬、攻擊對象為韓國,以及部分C&C地址也與US-CERT報告中公布的IOC存在重疊,基本可以認定幕后團伙即Lazarus。
據 US-CERT 報告數據統計發現,該團伙使用的 C&C 服務器共196個,其中美國44個、印度37個、伊朗26個、中國14個、阿根廷11個;我們威脅情報系統顯示,自9月以來至少有另外12臺服務器被Lazarus團伙用于攻擊的主機活躍,主要涉及中國、美國、韓國等國家,而其中涉及我國的IP多存在合法網站(部分屬于國內主流云廠商),推測應該是被攻陷后作為C&C 使用。
我們認為,Lazarus團伙除長期針對韓國開展滲透攻擊外,已開始將觸手伸向其他亞洲國家的金融行業,由于其主要使用入侵的合法網站服務器作為C&C服務器,且基礎設施和通信過程與中國存在較大聯系,對我國的潛在危害極大。
雷峰網特約稿件,未經授權禁止轉載。詳情見轉載須知。
