用户
搜索

该用户从未签到

安全团队

Rank: 7Rank: 7Rank: 7

27

主题

50

帖子

434

魔法币
收听
0
粉丝
0
注册时间
2020-7-7
【事件背景】
近期深信服安全团队捕获到了Lazarus组织针对加密货币相关行业的社工攻击活动,该组织在寻找到攻击目标信息后,疑似通过即时通讯软件主动和目标取得联系,并发送修改过的开源PDF软件(Secure PDF Viewer.exe)和携带加密payload的恶意PDF文件(Android Hardware Wallet.pdf)。单独打开”Secure PDF Viewer.exe”无恶意行为,”Android Hardware Wallet.pdf”无法用常规软件打开,所以该组织会利用社工的方式,诱使攻击目标使用exe文件查看pdf文件,最终解密出后台恶意程序执行,达到远控和窃取信息的目的。
对比了2021年初Google披露的Lazarus组织针对安全研究人员的攻击活动,发现本次活动有以下特征:
(1) 对加密货币相关目标发起攻击,符合Lazarus组织的一贯的“搞钱”目标;
(2) 本次出现的组件其执行与加载方式与2021年初披露Lazarus组织组件加载方式一致,都是”rundll32.exe 文件名 函数名 16字节校验数据 4位未知数字”;
(3) C2格式与2021年初披露的C2格式一致,  形如“image/upload/upload.asp”;
攻击流程如下:
【详细分析】
诱饵pdf文件Android Hardware Wallet.pdf打开后内容如下,可根据内容和文件名判断为针对加密货币行业的攻击活动
其社工攻击发送文件如下,其中”Secure PDF Viewer.exe”为为攻击者修改过的PDF开源软件,”Android Hardware Wallet.pdf” 为恶意PDF文件
“Secure PDF Viewer.exe”其在文件处理逻辑部分加入了恶意代码,用于解密与执行恶意文档中的第一阶段payload
首先,创建“C:\\Programdata\\WindowsUpdate”路径,并且读取打开文档最后4个字节数据是否存在标记0x78563412,如果存在该标记则该文档为恶意文档
读取恶意文档尾部0x208字节数据,并且使用xor解密(xor解密秘钥为0xE4)出相关数据data1
解密出的数据data1如下图,解密出的数据为第一阶段payload的相关执行参数,分别为函数名、16字节校验数据以及未知数字
该文件读取诱饵pdf文件大小,并解密该诱饵文件释放到“%appdata%”下同名文件
接着会解密第二阶段payload数据,将第二阶段payload数据写入文件C:\ProgramData\WindowsUpdate\MSCache.cpl并通过rundll32.exe调用执行
其释放的第二阶段payload相关信息如下
描述
详细信息
名称
MSCache.cpl/CAST.dll
文件大小
110080 bytes
文件类型
exe
文件功能
dropper
编译时间
2021-04-07 00:15:37 (UTC+0)
开发平台及语言
win/c++
Pdb
[size=10.5000pt]/
是否加壳
[size=10.5000pt]否
md5
d33bceb356a04b58ce8cf5baea860239
其原名为CAST.dll最终会调用CAST_encryptW导出函数执行后续动作。
图片11.png
接着内存加密第三阶段payload数据,并在内存展开并执行
图片12.png
其第三阶段payload相关信息如下
描述
详细信息
名称
Dll.dll
文件大小
460960 bytes
文件类型
exe
文件功能
downloader
编译时间
2021-04-07 00:15:37 (UTC+0)
开发平台及语言
win/c++
Pdb
[size=10.5000pt]/
是否加壳
[size=10.5000pt]否
md5
93d04c28e2f1448a273a8e554260bd9d
第三阶段payload为一个下载器,首先会初始化相关网络请求数据
图片13.png
接着尝试向C2下载第四阶段payload并反射执行,目前C2已经无法通信,无法获取第四阶段payload数据
图片14.png
【溯源关联】
本次出现的组件其执行与加载方式与2021年初披露Lazarus组织组件加载方式一致,都是”rundll32.exe 文件名 函数名 16字节校验数据 4位未知数字”
图片15.png
C2格式与2021年初披露的C2格式一致,形如”image/upload/upload.asp”
图片16.png
基于攻击目标和技术特征多种关联结果,确定本次攻击事件其相关组织为Lazarus组织。
IOC】
[size=10.5000pt]md5
1a00ef6c4cc9ae09f3f7d59cd726add1
819edb8646bf2f877ab636a8b27caafd
url
https://www.smartaudpor[size=10.5000pt][[size=10.5000pt].[size=10.5000pt]]com/image/upload/upload.asp
domain
www.smartaudpor[size=10.5000pt][[size=10.5000pt].[size=10.5000pt]]com
【参考链接】
【深信服2021年年初披露的Lazarus分析报告】

发新帖
您需要登录后才可以回帖 登录 | 立即注册