信息來源:4hou
最近,朝鮮聲名狼藉的APT組織Lazarus又開始活躍起來,先是入侵印度核電站,導(dǎo)致其緊急關(guān)閉一座反應(yīng)堆,然后又向韓國、意大利等國發(fā)送大量釣魚郵件進(jìn)行攻擊,加上今年年初的數(shù)字貨幣交易所入侵事件,Lazarus今年可謂是很“高產(chǎn)”了。鑒于我國也曾在Lazarus的攻擊范圍之內(nèi),下面就來了解下Lazarus組織的攻擊手法,以及學(xué)習(xí)如何對其進(jìn)行追蹤。
APT組織概述
Lazarus別名APT38、Guardians of Peace,是隸屬于朝鮮的一個APT組織。據(jù)一位叛逃到韓國的朝鮮計算機(jī)科學(xué)教授透露,該組織的成員主要來源于朝鮮RGB海外情報機(jī)構(gòu)的Unit 180部隊,主要負(fù)責(zé)以獲得外匯為目的的攻擊。
Lazarus組織自2009年就已經(jīng)開始有活動,不過早期主要是針對美國、韓國進(jìn)行政治攻擊,后續(xù)攻擊目標(biāo)漸漸擴(kuò)大到印度、菲律賓、越南、孟加拉等亞洲及歐洲國家。
然而,Lazarus真正映入我們眼簾的其實是2014年的索尼影業(yè)入侵事件,2014年,索尼影業(yè)在Youtube上首發(fā)了電影《刺殺金正恩》的預(yù)告片,引起了朝鮮人民強(qiáng)烈不滿,僅僅10天之后,Lazarus就入侵了索尼影業(yè),泄露了大量的還未發(fā)行的影片資料,以及高管間的秘密郵件和員工的隱私信息,逼得索尼影視娛樂公司不得不宣布取消了該電影的發(fā)行和放映計劃。
自這次事件之后,Lazarus逐漸衍變成了一個全球性的黑客組織,先后導(dǎo)演了入侵孟加拉國央行賬號、使用WannaCry大范圍勒索、攻擊5大數(shù)字貨幣交易所、破壞印度KNPP核電站的重大安全事件。安全界廠商認(rèn)為,Lazarus 的影響已經(jīng)遠(yuǎn)非一般 APT組織所能及。
攻擊組件演變
2013 — DarkSeoul
Lazarus早期的攻擊組件,以DarkSeoul為代表的DDoS惡意軟件為主,攻擊對象為韓國的媒體、金融、基礎(chǔ)設(shè)施行業(yè)。
2014 — Destover
在索尼影業(yè)入侵事件中,攻擊者使用了一系列的攻擊組件進(jìn)行信息竊取、主機(jī)擦除,其中,有一個MBR擦除組件(如下圖)Destover的部分代碼與之前Lazarus用到的攻擊組件有大量重疊的地方,也基于此,安全廠商確定該次攻擊樣本來自于Lazarus之手。
2016 — Alreay
在盜竊孟加拉國央行的行動中,Lazarus通過Alreay攻擊組件篡改SWIFT軟件,使得黑客能夠操作銀行賬號任意進(jìn)行轉(zhuǎn)賬,從而竊取了8100萬美元。
2017 — WannaCry
在最早版本的WannaCry病毒中,安全廠商發(fā)現(xiàn)了其中存在著Lazarus使用過的代碼,從而判斷該病毒是由Lazarus制作的。該細(xì)節(jié)被公布后,后續(xù)版本的WannaCry也將這段代碼去除。
2019 — Worldbit-bot
Worldbit-bot基于開源數(shù)字貨幣交易軟件Qt Bitcoin Trader進(jìn)行篡改,竊取賬戶敏感信息。
2019 — Dtrack
Dtrack是Lazarus用來攻擊印度核電站所使用的RAT,該攻擊組件與ATMDtrack十分相似,后者曾被用來入侵某印度銀行。該RAT會打包收集主機(jī)敏感信息并上傳。
APT追蹤
對APT組織進(jìn)行追蹤需要一定的積累,只有熟悉了該組織的常用攻擊手法(TTPs),才能在新型的攻擊中將其辨識出來。其中,通過樣本共用代碼段進(jìn)行關(guān)聯(lián)是最高效的方式,這也突顯了使用yara規(guī)則進(jìn)行樣本分析的好處。
首先,我們需要從已有的樣本中篩選出相同的特征碼,可以使用Bindiff來比較已有樣本相似的代碼片段,如下:找到相似度較高且不是系統(tǒng)API的函數(shù)。
然后優(yōu)先選取Blocks數(shù)較多、匹配指令數(shù)較多的函數(shù)。
可以重點(diǎn)挑選一些加密算法代碼作為特征碼,這樣比較沒那么容易誤報。除此之外,也可以使用一些自動化提取yara規(guī)則的工具可以使用,比如yargen:https://github.com/Neo23x0/yarGen。
如下,是提取出來的wannacry的特征碼,可以在VT上進(jìn)行關(guān)聯(lián),來追蹤Lazarus的相似攻擊組件。
在VT搜索框中,輸入:content:"{51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75 04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01 46 56 E8}",就能篩選出所有具有這個代碼片段的樣本,直到今年7月份,都還有相關(guān)的樣本活躍。
打開詳細(xì)信息,發(fā)現(xiàn)這是Lazarus用于攻擊孟加拉國的alreay攻擊組件,那么也就說明,WannaCry和Alreay確實有共用的代碼片段,通過這種方式,就可以關(guān)聯(lián)出Lazarus所使用的攻擊組件。
將yara規(guī)則添加到hunting中,一旦VT捕獲到新的樣本符合這條規(guī)則,就會立刻通知我們。