黑盟编者按:2017 年 11 月 14 日,美国计算机安全应急响应小组(US-CERT)发布了“Hidden Cobra”团伙(即Lazarus)常用工具 FALLCHILL、Volgmer 的分析报告,指出该团伙具有朝鲜政府背景。微步在线发现,US-CERT 报告中描述的 FALLCHILL 与其发现该团伙最新的后门程序功能特点高度一致。该文为微步在线投稿,黑盟(公众号:黑盟)在不影响原意的基础上略有删减。
概要
1.US-CERT 分析的 FALLCHILL 样本为该团伙2016年期间使用的早期版本,公布的 IOC 中共计 196 个IP地址,其中美国(44个)、印度(37个)、伊朗(26个)和中国(14个)的等国家占比较高。
2.微步在线近日捕获了多份伪装成金融相关行业招聘信息的恶意文档,执行后会释放新版的 FALLCHILL 后门。该程序设计功能相对复杂,能够根据攻击者发送指令实现上传系统信息、创建文件、进程等操作,使得系统环境和功能操作完全在控制者的掌握之中,危害较大。
3.FALLCHILL 与 C&C 服务器的通信过程会包含失效的数字证书,涉及 Google、Apple、Yahoo!、Github以及Baidu、Lenovo等国内外大型网站,以规避检测。
4.近期针对韩国的一系列网络攻击活动中,攻击者使用了相似的手法和木马工具,判断同为 Lazarus团伙所为。
5.微 Lazarus 仍在使用的 IP12 个,其中个别主机属于我国主流云厂商。
6.Lazarus 团伙除继续针对韩国、美国开展渗透攻击,已开始将触手伸向亚洲其他国家的金融行业,其主要使用入侵的合法网站服务器作为C&C(远程控制)服务器,且基础设施和通信过程与中国存在较大联系,对我国的潜在危害巨大。
详情
2017 年 11 月 14 日,US-CERT 发布 Lazarus 团伙 FALLCHILL、Volgmer 两款木马的分析报告,指出FALLCHILL(公开的样本编译时间为2016年3月)会使用伪造的 TLS 协议与 C&C 通信,并收集受害者主机的操作系统版本、处理器、IP 和 MAC 等基础信息,同时按照 C&C 指令执行创建文件、删除文件、创建进程、关闭进程等操作,与我们近期捕获该组织恶意样本的功能和特点基本一致。
微步在线最新捕获该组织使用的恶意文档名为JD.doc,语言编码为韩语,最后的修改时间为2017年10月26日。
打开后会提示“该文档由新版本创建,需点击允许编辑,并点击启用内容”,诱导用户启用恶意宏脚本。
该脚本会打开一份Juno公司(境外比特币公司)招聘CFO的职位描述文档,用于迷惑受害者,同时释放名为“smss.exe”的FALLCHILL工具(编译时间为2017年10月)。如下图所示:
此外,我们还捕获了多份类似的招聘文档,主题包括面向亚洲地区招聘财务人员的职位要求(8月21日)和IBM公司在菲律宾招聘要求(8月6日)等,释放的恶意样本属于较新版本的FALLCHILL。
样本分析
微步在线对最新生成的 FALLCHILL 分析发现,此类工具由诱饵文档释放并执行,通常命名为系统进程以混淆视听,具体行为如下:
1、检查并设置相关注册表键值,其中,注册表键值的内容均通过对硬编码的密文进行动态解密来获得。如果存在这些键值,则说明样本已经运行,直接退出;若不存在,则在注册表中写入相关键值,样本将继续执行。
2、建立基于Select模型的SOCKET网络通信,对FD_Set进行初始化,完成Select模型的准备工作。
3、在完成FD_Set的初始化后,样本通过使用ioctlsocket函数,设置SOCKET为非阻塞模式,然后调用connect函数连接C&C服务器,开启虚电路通信。接着调用select函数和_WSAFDIsSet函数来测试本机与C&C服务器之间的连通性,最后,使用ioctlsocket函数将SOCKET重置为阻塞模式。
4、构造虚假的TLS通信(FakeTLS)。
样本按照TLS通信协议,构造一个虚假的TLS通信来迷惑分析人员,让网络流量看起来像是正常的TLS握手和通信的过程。
首先,发送5个字节的数据,其中,前三个字节“16 03 01”为固定字节,后两个字节预示着本机要发送的下一个包的大小,如下图中后两个字节为00 A0,即下一个包的大小为0xA0(十进制160)字节。
接着,发送下一个封包,其中包含一个知名网站的域名,如下图中的“www.baidu.com”。在虚假的
TLS通信中,本机将向C&C服务器请求这个域名的证书,等待服务器返回。
域名将在以下列表中随机选取(共20个):
服务器将先返回5个字节的数据包,格式与本机发送的包格式相同,前3个字节固定,后2个字
节预示下一个包的大小。
之后,发送请求域名的证书。
把证书Dump出来,保存为cert文件,得到了baidu.cer,即C&C服务器返回的虚假百度证书。
该证书没有足够信息,无法进行验证,且已于2015年6月10日过期,是一个明显的无效证书。
5、建立后门,等待来自C&C服务器的控制码
6、根据C&C服务器发送的指令,执行相应的恶意行为,并将操作结果返回给C&C服务器。样本中使用一个大的分支选择(switch…case)结构,从十六进制的0x8001至0x8026,共38个不同的控制码,分别进行处理。
控制码对应执行的功能主要有上传本机信息类,如上传当前工作目录,当前进程信息,当前系统临时目录等,也有执行特定功能类,如创建文件、创建进程、关闭进程等,使得主机的当前信息及相关行为几乎完全在控制者的掌握之中。
在控制码0x8003执行的功能中,系统将创建并运行一个.bat批处理文件,该文件将对批处理文件本身、样本文件以及中间生成的临时文件执行自删除功能,清除操作痕迹。
关联分析
1、韩国HWP软件攻击
9月14日,趋势科技发布文章称,有黑客利用韩国文字处理软件Hangul Word Processor(HWP)的PostScript功能执行恶意指令,诱饵文件的主题包括“比特币”和“金融安全标准化”等,但未对攻击细节进行进一步描述。
我们对 FALLCHILL 类样本深入分析发现,自今年5月以来出现的多个HWP文档会利用漏洞释放并启动后门程序,对应样本同样使用FakeTLS方式与C&C服务器的443端口进行通信,仿冒的网站同样包括www.microsoft.com、web.whatsapp.com、www.bing.com和www.paypal.com等,所有特征均与该工具完全一致,再加上攻击者利用文档传播木马、攻击对象为韩国,以及部分C&C地址也与US-CERT报告中公布的IOC存在重叠,基本可以认定幕后团伙即Lazarus。
2、黑客基础设施
据 US-CERT 报告数据统计发现,该团伙使用的 C&C 服务器共196个,其中美国44个、印度37个、伊朗26个、中国14个、阿根廷11个;我们威胁情报系统显示,自9月以来至少有另外12台服务器被Lazarus团伙用于攻击的主机活跃,主要涉及中国、美国、韩国等国家,而其中涉及我国的IP多存在合法网站(部分属于国内主流云厂商),推测应该是被攻陷后作为C&C 使用。
我们认为,Lazarus团伙除长期针对韩国开展渗透攻击外,已开始将触手伸向其他亚洲国家的金融行业,由于其主要使用入侵的合法网站服务器作为C&C服务器,且基础设施和通信过程与中国存在较大联系,对我国的潜在危害极大。
黑盟特约稿件,未经授权禁止转载。详情见转载须知。