信息來源:4hou
最近��,朝鮮聲名狼藉的APT組織Lazarus又開始活躍起來�,先是入侵印度核電站�,導(dǎo)致其緊急關(guān)閉一座反應(yīng)堆,然后又向韓國�����、意大利等國發(fā)送大量釣魚郵件進行攻擊�����,加上今年年初的數(shù)字貨幣交易所入侵事件���,Lazarus今年可謂是很“高產(chǎn)”了�����。鑒于我國也曾在Lazarus的攻擊范圍之內(nèi)�,下面就來了解下Lazarus組織的攻擊手法���,以及學(xué)習(xí)如何對其進行追蹤����。
APT組織概述
Lazarus別名APT38、Guardians of Peace��,是隸屬于朝鮮的一個APT組織���。據(jù)一位叛逃到韓國的朝鮮計算機科學(xué)教授透露��,該組織的成員主要來源于朝鮮RGB海外情報機構(gòu)的Unit 180部隊�����,主要負責(zé)以獲得外匯為目的的攻擊��。
Lazarus組織自2009年就已經(jīng)開始有活動���,不過早期主要是針對美國、韓國進行政治攻擊��,后續(xù)攻擊目標(biāo)漸漸擴大到印度���、菲律賓�、越南����、孟加拉等亞洲及歐洲國家�。
然而���,Lazarus真正映入我們眼簾的其實是2014年的索尼影業(yè)入侵事件���,2014年,索尼影業(yè)在Youtube上首發(fā)了電影《刺殺金正恩》的預(yù)告片��,引起了朝鮮人民強烈不滿�����,僅僅10天之后�����,Lazarus就入侵了索尼影業(yè)����,泄露了大量的還未發(fā)行的影片資料����,以及高管間的秘密郵件和員工的隱私信息,逼得索尼影視娛樂公司不得不宣布取消了該電影的發(fā)行和放映計劃�。
自這次事件之后����,Lazarus逐漸衍變成了一個全球性的黑客組織����,先后導(dǎo)演了入侵孟加拉國央行賬號、使用WannaCry大范圍勒索���、攻擊5大數(shù)字貨幣交易所��、破壞印度KNPP核電站的重大安全事件���。安全界廠商認(rèn)為,Lazarus 的影響已經(jīng)遠非一般 APT組織所能及����。
攻擊組件演變
2013 — DarkSeoul
Lazarus早期的攻擊組件,以DarkSeoul為代表的DDoS惡意軟件為主�����,攻擊對象為韓國的媒體���、金融��、基礎(chǔ)設(shè)施行業(yè)�����。
2014 — Destover
在索尼影業(yè)入侵事件中�����,攻擊者使用了一系列的攻擊組件進行信息竊取�、主機擦除,其中����,有一個MBR擦除組件(如下圖)Destover的部分代碼與之前Lazarus用到的攻擊組件有大量重疊的地方��,也基于此��,安全廠商確定該次攻擊樣本來自于Lazarus之手���。
2016 — Alreay
在盜竊孟加拉國央行的行動中���,Lazarus通過Alreay攻擊組件篡改SWIFT軟件,使得黑客能夠操作銀行賬號任意進行轉(zhuǎn)賬�����,從而竊取了8100萬美元。
2017 — WannaCry
在最早版本的WannaCry病毒中��,安全廠商發(fā)現(xiàn)了其中存在著Lazarus使用過的代碼�,從而判斷該病毒是由Lazarus制作的。該細節(jié)被公布后��,后續(xù)版本的WannaCry也將這段代碼去除�。
2019 — Worldbit-bot
Worldbit-bot基于開源數(shù)字貨幣交易軟件Qt Bitcoin Trader進行篡改,竊取賬戶敏感信息�����。
2019 — Dtrack
Dtrack是Lazarus用來攻擊印度核電站所使用的RAT����,該攻擊組件與ATMDtrack十分相似,后者曾被用來入侵某印度銀行�����。該RAT會打包收集主機敏感信息并上傳��。
APT追蹤
對APT組織進行追蹤需要一定的積累,只有熟悉了該組織的常用攻擊手法(TTPs)���,才能在新型的攻擊中將其辨識出來����。其中����,通過樣本共用代碼段進行關(guān)聯(lián)是最高效的方式,這也突顯了使用yara規(guī)則進行樣本分析的好處����。
首先,我們需要從已有的樣本中篩選出相同的特征碼��,可以使用Bindiff來比較已有樣本相似的代碼片段���,如下:找到相似度較高且不是系統(tǒng)API的函數(shù)。
然后優(yōu)先選取Blocks數(shù)較多�����、匹配指令數(shù)較多的函數(shù)����。
可以重點挑選一些加密算法代碼作為特征碼���,這樣比較沒那么容易誤報。除此之外�����,也可以使用一些自動化提取yara規(guī)則的工具可以使用��,比如yargen:https://github.com/Neo23x0/yarGen�。
如下,是提取出來的wannacry的特征碼�,可以在VT上進行關(guān)聯(lián),來追蹤Lazarus的相似攻擊組件�。
在VT搜索框中,輸入:content:"{51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75 04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01 46 56 E8}"�,就能篩選出所有具有這個代碼片段的樣本,直到今年7月份���,都還有相關(guān)的樣本活躍����。
打開詳細信息�,發(fā)現(xiàn)這是Lazarus用于攻擊孟加拉國的alreay攻擊組件����,那么也就說明�����,WannaCry和Alreay確實有共用的代碼片段�����,通過這種方式���,就可以關(guān)聯(lián)出Lazarus所使用的攻擊組件�。
將yara規(guī)則添加到hunting中�,一旦VT捕獲到新的樣本符合這條規(guī)則,就會立刻通知我們���。
