Lazarus組織攻擊美中部在線賭場時所使用的工具集分析

Lazarus組織如此出名是在於2014年攻擊了索尼影視娛樂公司的伺服器，泄露了該公司的許多機密數據。2017年底，研究人員發現該組織仍然活躍，應用一些惡意工具來攻擊一些目標，這些工具包括能夠擦除磁碟信息的惡意軟體KillDisk。

本文分析一些Lazarus組織使用的工具集，包括KillDisk。KillDisk是在被黑的設備上執行的磁碟擦除工具。

Lazarus工具集

Lazarus組織使用的工具集很廣泛，研究人員發現有一些子組織。不像其他的網路犯罪組織，Lazarus工具的任何代碼都沒有泄露。Lazarus組織使用的一些工具集是來自GitHub，其他一些來自商業化軟體。

Casino攻擊中的Lazarus工具

本節會描述一些在美國中部在線賭場網路的伺服器和終端上檢測到的惡意工具。研究人員有理由相信這些惡意軟體與Lazarus組織相關，ESET檢測到的Lazarus惡意軟體有Win32/NukeSped和Win64/NukeSped。幾乎所有的工具都是Windows服務，所以管理員許可權是必須的。

TCP後門

Win64/NukeSped.W是系統中安裝的一項服務，是用於配置的應用。最初的一項執行步驟包括棧中動態解析必須的DLL名：

同樣地，上面Windows API的步驟名稱也是動態構建的。在這個特殊的樣本中，是明文可見的；在過去的一些樣本中，研究人員是以字元為單位在堆棧上進行base64編碼，加密或解析的。

這都是Lazarus惡意軟體的典型特徵。另一個Lazarus的特徵就是後門，它會監聽特定的埠，而該埠也不會被防火牆攔截。

後門支持20種命令，這些命令與之前發現的Lazarus樣本相似：

在文件系統中創建了很多文件，監聽的埠儲存在文件%WINDOWS%Tempp中。文件%WINDOWS%Tempperflog.evt含有一個要注入，執行和寫入註冊表的二進位文件的路徑。

在+的選項中，cmd.exe /c 「%s 2>> %s」 (cmd.exe /c 「%s >> %s 2>&1」)的輸出數據記錄在%WINDOWS%Tempperflog.dat中。

Session劫持器

Win64/NukeSped.AB是在當前受害者系統中創建一個當前未登錄的用戶的進程的一個配置應用。在本例中，以C:Userspublicps.exe的形式安裝。

樣本中有一些共同的特徵，分別是同樣的PE編譯時間戳，相同的Rich Header鏈接數據，和部分的資源版本：

當PE時間戳和資源從Windows 7SP1的合法PREVHOST.EXE文件中竊取出來時，其中是沒有鏈接數據的，原來的微軟文件是通過Visual Studio 2008(9.0)編譯和鏈接的。隨後的動態分析確認了被黑的在線賭場網路中的文件是與Polish和Mexican攻擊中的session hijacker相關的。

載入器Loader/installer

這是一個接收許多switch的簡單命令行工具。該工具的作用是與其他進程（通過PID或者名字注入和殺死進程）、服務（中止或重新安裝服務）和文件（drop/remove）一起工作。具體的功能是與參數相關的。

KillDisk變種

KillDisk是ESET用來命名所有檢測到的有擦除功能的惡意軟體，比如對boot單元造成破壞，覆寫和刪除系統文件等。雖然所有的KillDisk惡意軟體含有相同的功能，但不同樣本的代碼相似性和相關性並不強。

在美國中部在線賭場的案例中，研究人員在其網路中檢測到兩個Win32/KillDisk.NBO的變種。研究人員在企業超過100台主機中檢測到了該惡意軟體。基於這些數據，加上檢測到的Win32/KillDisk.NBO變種和目標網路中的其他Lazarus惡意軟體，研究人員相信KillDisk惡意軟體與Lazarus組織有關。

對2個Win32/KillDisk.NBO變種的分析發現他們有很多的代碼相似性。這與攻擊拉美金融組織的KillDisk變種幾乎完全相同。在對賭場的攻擊中，KillDisk變種的路徑是 C:WindowsTempdimens.exe

嵌入的payload是注入到系統集成werfault.exe中的：

其中一個變種是由商業PE保護器VMProtect保護的，這會讓解壓變難。攻擊者可能並不會去購買licence，但是可能會使用網路上泄漏的licence。然而用protectors在Lazarus組織也是常見的，在2017年2月的Polish和Mexican攻擊事件中，他們就使用了Enigma Protector，一種VMProtect的老一點的版本。

通用的Lazarus格式字元

許多典型的字元也具有用於分類。下表就是Lazarus相關的TCP後門：

這可能不是一個有信服力的線索，但是在ESET檢查惡意軟體樣本的格式字元串時發現，只有Lazarus組織的樣本中會有這樣的結果。研究人員得出結論，這些格式字元是與Lazarus組織相關的。

其他工具

在在線賭場攻擊事件中至少還使用了兩個工具，分別是Browser Password Dump和Mimikatz。

Browser Password Dump

該工具的作用是從主流的web瀏覽器中提取密碼。該工具從2014年12月就開始被使用了，是一種比較古老和有名的技術。在當前最新的Google Chrome版本(64.0.3282.186), Chromium版本(67.0.3364.0), Microsoft Edge版本(41.16299.15.0) 和Microsoft Internet Explorer版本(11.0.9600.17843)。該工具對Firefox或Opera的最新版本是不奏效的。

Mimikatz

攻擊者還使用了一個開源工具Mimikatz，該工具是用來竊取Windows憑證的。Mimikatz會接受一個參數，也就是文件名來存儲輸出的文件。如果沒有接收到參數默認會輸出到與Mimikatz相同目錄的 ~Temp1212.tmp文件。輸出的文件含有當前登錄用戶的Windows憑證的哈希值。Mimikatz也是APT組織和其他網路犯罪分子常用的工具。

感染單元

上面提到的大多數工具都會在攻擊的第一階段由惡意釋放器和載入器下載並安裝在受害者系統中。攻擊者還是用Radmin 3和LogMeIn這樣的遠程訪問工具來遠程控制受害者設備。

結論

這起攻擊事件說明Lazarus組織的工具集在每次攻擊中都會重新編譯。攻擊本身是很複雜的，含有許多的步驟，以及數十個受保護的工具。攻擊者使用KillDisk主要的原因有兩個，一是在監聽活動之後覆蓋自己的足跡，二是直接用於攻擊活動。同時，研究人員發現該攻擊中企業網路有超過100台終端和伺服器被感染惡意軟體，說明攻擊者在攻擊前做了很多的準備工作。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！