安全動態(tài)

追溯朝鮮APT組織Lazarus的攻擊歷程

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-11-26    瀏覽次數(shù):
 

信息來源:4hou

最近,朝鮮聲名狼藉的APT組織Lazarus又開始活躍起來,先是入侵印度核電站,導致其緊急關(guān)閉一座反應堆,然后又向韓國、意大利等國發(fā)送大量釣魚郵件進行攻擊,加上今年年初的數(shù)字貨幣交易所入侵事件,Lazarus今年可謂是很“高產(chǎn)”了。鑒于我國也曾在Lazarus的攻擊范圍之內(nèi),下面就來了解下Lazarus組織的攻擊手法,以及學習如何對其進行追蹤。

APT組織概述

Lazarus別名APT38、Guardians of Peace,是隸屬于朝鮮的一個APT組織。據(jù)一位叛逃到韓國的朝鮮計算機科學教授透露,該組織的成員主要來源于朝鮮RGB海外情報機構(gòu)的Unit 180部隊,主要負責以獲得外匯為目的的攻擊。

追溯朝鮮APT組織Lazarus的攻擊歷程

Lazarus組織自2009年就已經(jīng)開始有活動,不過早期主要是針對美國、韓國進行政治攻擊,后續(xù)攻擊目標漸漸擴大到印度、菲律賓、越南、孟加拉等亞洲及歐洲國家。

然而,Lazarus真正映入我們眼簾的其實是2014年的索尼影業(yè)入侵事件,2014年,索尼影業(yè)在Youtube上首發(fā)了電影《刺殺金正恩》的預告片,引起了朝鮮人民強烈不滿,僅僅10天之后,Lazarus就入侵了索尼影業(yè),泄露了大量的還未發(fā)行的影片資料,以及高管間的秘密郵件和員工的隱私信息,逼得索尼影視娛樂公司不得不宣布取消了該電影的發(fā)行和放映計劃。

自這次事件之后,Lazarus逐漸衍變成了一個全球性的黑客組織,先后導演了入侵孟加拉國央行賬號、使用WannaCry大范圍勒索、攻擊5大數(shù)字貨幣交易所、破壞印度KNPP核電站的重大安全事件。安全界廠商認為,Lazarus 的影響已經(jīng)遠非一般 APT組織所能及。

攻擊組件演變

2013 — DarkSeoul

Lazarus早期的攻擊組件,以DarkSeoul為代表的DDoS惡意軟件為主,攻擊對象為韓國的媒體、金融、基礎(chǔ)設(shè)施行業(yè)。

2014 — Destover

在索尼影業(yè)入侵事件中,攻擊者使用了一系列的攻擊組件進行信息竊取、主機擦除,其中,有一個MBR擦除組件(如下圖)Destover的部分代碼與之前Lazarus用到的攻擊組件有大量重疊的地方,也基于此,安全廠商確定該次攻擊樣本來自于Lazarus之手。

2016 — Alreay

在盜竊孟加拉國央行的行動中,Lazarus通過Alreay攻擊組件篡改SWIFT軟件,使得黑客能夠操作銀行賬號任意進行轉(zhuǎn)賬,從而竊取了8100萬美元。

2017 — WannaCry

在最早版本的WannaCry病毒中,安全廠商發(fā)現(xiàn)了其中存在著Lazarus使用過的代碼,從而判斷該病毒是由Lazarus制作的。該細節(jié)被公布后,后續(xù)版本的WannaCry也將這段代碼去除。

2019 — Worldbit-bot

Worldbit-bot基于開源數(shù)字貨幣交易軟件Qt Bitcoin Trader進行篡改,竊取賬戶敏感信息。

2019 — Dtrack

Dtrack是Lazarus用來攻擊印度核電站所使用的RAT,該攻擊組件與ATMDtrack十分相似,后者曾被用來入侵某印度銀行。該RAT會打包收集主機敏感信息并上傳。

APT追蹤

對APT組織進行追蹤需要一定的積累,只有熟悉了該組織的常用攻擊手法(TTPs),才能在新型的攻擊中將其辨識出來。其中,通過樣本共用代碼段進行關(guān)聯(lián)是最高效的方式,這也突顯了使用yara規(guī)則進行樣本分析的好處。

首先,我們需要從已有的樣本中篩選出相同的特征碼,可以使用Bindiff來比較已有樣本相似的代碼片段,如下:找到相似度較高且不是系統(tǒng)API的函數(shù)。

然后優(yōu)先選取Blocks數(shù)較多、匹配指令數(shù)較多的函數(shù)。

可以重點挑選一些加密算法代碼作為特征碼,這樣比較沒那么容易誤報。除此之外,也可以使用一些自動化提取yara規(guī)則的工具可以使用,比如yargen:https://github.com/Neo23x0/yarGen。

如下,是提取出來的wannacry的特征碼,可以在VT上進行關(guān)聯(lián),來追蹤Lazarus的相似攻擊組件。

在VT搜索框中,輸入:content:"{51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75 04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01 46 56 E8}",就能篩選出所有具有這個代碼片段的樣本,直到今年7月份,都還有相關(guān)的樣本活躍。

      打開詳細信息,發(fā)現(xiàn)這是Lazarus用于攻擊孟加拉國的alreay攻擊組件,那么也就說明,WannaCry和Alreay確實有共用的代碼片段,通過這種方式,就可以關(guān)聯(lián)出Lazarus所使用的攻擊組件。

       將yara規(guī)則添加到hunting中,一旦VT捕獲到新的樣本符合這條規(guī)則,就會立刻通知我們。


 
 

上一篇:2019年11月25日 聚銘安全速遞

下一篇:卡巴斯基在4種開源VNC軟件中發(fā)現(xiàn)了數(shù)十個漏洞