js1996官网

20240925181105_9935数字经济的安全基石

申请试用
利用网络空间探测引擎跟踪Lazarus组织的活动痕迹_2019_js1996官网动态_关于js1996官网_js1996官网信息

首页 > 关于js1996官网 > js1996官网动态 > 2019 > 正文

利用网络空间探测引擎跟踪Lazarus组织的活动痕迹

阅读量:

提要

Lazarus是来自朝鲜的APT组织,该组织通常使用鱼叉式垂钓邮件作为样本投递伎俩,重要以韩国和美国为攻击指标,其攻击活动还涉及金融和数字钱币等领域。本次分析结合了网络空间测绘探测技术跟踪到该组织有关Rat法式的网络基础设施活动痕迹。

?

布景

本次获取到的三个Lazarus组织样本公开功夫在2019年6月左右,被ExeStealth V2壳加密。三份样本的架构和硬编码C2齐全一致。样本主体是Lazarus组织使用的Rat法式,属于APT攻击习染链的结尾。Rat中的C2通讯指令非;,可通过分歧的组合机关出高级指令,职能至少蕴含文件上传、蹊径遍历、文件下载和远程执行等。

?

样本分析

假装信息

样本利用伪造的资源信息,假装成“Adobe Reader”的可执行法式:

20191024195437kAadgS

壳信息

样本使用ExeStealth V2壳:

20191024195459Aef9ch

使用SEH进行反调试:

201910241955208Te0fE

字符串加密

样本使用了多种字符串加密伎俩,其中最重要的解密步骤是部门字符位移,函数和部门字符串使用的解密秘钥分歧,但整体架构一致,下面给出解密剧本:

20191024195542YdMZwu

从样本中共解密出101个函数和一些特点字符串信息,解码后的样本重要编程环境为朝鲜语(ko-KR),通讯使用的User-Agent为“User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) Chrome/28.0.1500.95 Safari/537.36”。

假装的服务端信息:

20191024195641x0nsS9

以表单方面式上传:

20191024195641mlExrF

提交数据的POST蹊径:

20191024195715GCavVJ

虚伪证书

样本利用以下网站域名造作的虚伪证书进行通讯:

20191024195741uLScOi

内置剧本

样本中硬编码的剧本如下:

20191024195828cgCJK4

C2指令

共分析出28个C2职能,C2指令流程图如下:

20191024195851iwcH0x

C2指令中蕴含极度多的基础职能,蕴含文件获取、磁盘遍历、写文件、沉启删除、过程创建、CMD号令执行等,通过组合方式机关成高级指令执行。

20191024195912tPF31l

?

与友商分析的其他样本在指令区间有稍有分歧,大于0x12348C或幼于0x123459都无效,0x12347A为操作成功指令码、0x12345C为操作失败指令码。

?

内置IP

样本内置的两个IP地址别离为218.103.37.229和23.115.75.188。

20191024195938W1Abrv

?

活动跟踪

2019年9月美国颁发加强对朝鲜的造裁,本次分析的Lazarus样本活跃时期初步揣摩在该轮造裁之前。通过网络空间测绘探测技术,我们相识到IP:23.115.75.188在2019年6月1日盛开过443端口:

201910242000112q9LDS

另一基础设施IP:218.103.37.229在2019年8月28日盛开过FTP端口:

201910242000359Y0V5M

网络空间测绘得到的线索与我们从样本中获知的信息相对应,从另一维度向我们描述Lazarus组织的网络活动痕迹。

?

参考链接

https://www.secpulse.com/archives/99324.html

https://www.freebuf.com/articles/network/164511.html

https://www.freebuf.com/sectool/154259.html

?

IOC

20191024200106h5pNeT

关关

20240102184719_8730

客服在线征询入口,等待与您互换

线上征询
commrr_dot04 commrr_dot04on 产品试用

即刻预约免费试用,我们将在24幼时内联系您

联系js1996官网

征询电话:400-6059-110

微信征询
js1996官网信息联系方式
commrr_top
【网站地图】