标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2024-1543]   作者: 浩丶轩 发表于: [2018-06-17]

本文共 [372] 位读者顶过

导语:AlienVault的研究人员详细分析了朝鲜黑客组织LAZARUS在一个韩国国家安全智库的网站上植入ActiveX 0 day漏洞的细节。 [出自:jiwo.org]

一、简介

最近,在一个韩国国家安全智库(South Korea think tank)网站上发现了一个ActiveX zero-day。虽然ActiveX控件在大多数系统上都是禁用的,但由于韩国政府的授权,它们仍然在大多数韩国机器上启用。这些攻击事件归咎于朝鲜APT组织Lazarus

下面分享了我们对攻击的简要分析。

二、分析脚本

第一步是用分析脚本来获取可能的攻击目标信息。我们已经看到了Lazarus之前在他们感染过的其他网站上这样做过,而且这是其他高级攻击者采用的技术。

随后是执行其他分析并传播ActiveX漏洞的脚本。

issuemakerslab对这些脚本的一些细节进行了分享,他们发现了一些随时间而变化的感染:

LAZARUS向韩国安全智库网站上植入ActiveX 0 day漏洞

尽管这些恶意文件已被删除,但urlscan仍保留了同一感染的记录。恶意脚本隐藏在http://www.sejong[.]org/js/jquery-1.5.3.min.js中。

该脚本类似于典型的exploit工具包,它识别用户正在运行的浏览器和操作系统。大部分代码都来自PinLady’s Plugin-Detect。如果目标正在运行Internet Explorer,它将检查是否启用了运行ActiveX以及从特定的ActiveX组件列表查看启用了哪些插件:

· EasyPayPlugin.EPplugin.

· ACUBEFILECTRL.AcubeFileCtrlCtrl.1

· DUZONERPSSO.DUZONERPSSOCtrl.1

LAZARUS向韩国安全智库网站上植入ActiveX 0 day漏洞

结果发送到http://alphap1[.]com/hdd/images/image.php?id=ksjdnks。存储在OTX中的示例URL是:

http://alphap1.com/hdd/images/image.php?id=ksjdnks&w=c2Vqb25n&r=PD89JHJlZmVyZXI/Pg==&o=V2luZG93cyBOVCA2LjE7IFdPVzY0OyBUcmlkZW50LzcuMDsgU0xDQzI7IC5ORVQgQ0xSIDIuMC41MDcyNzsgLk5FVCBDTFIgMy41LjMwNzI5OyAuTkVUIENMUiAzLjAuMzA3Mjk7IE1lZGlhIENlbnRlciBQQyA2LjA7IC5ORVQ0LjBDOyAuTkVUNC4wRTsgcnY6MTEuMA==&lv=KO&bt=-1&bv=&bdv=undefined&fv=MjksMCwwLDE3MQ==&silv=NSwxLDUwOTA3LDA=&ez=false&ac=false&si=false&du=false&iw=false

三、其它分析脚本

很容易找到其他使用相同混淆技术的相似脚本。

一个结果发送到http://aega.co[.]kr/mall/skin/skin.php?id=ksjdnks。

这个网站有可能在之前已被控制,因为它在2015年被用作与Lazarus相关的恶意软件Waketagat的命令和控制服务器。

四、ActiveX 漏洞利用及传播

issumakerslabs 在Twitter上分享了ActiveX漏洞利用:

LAZARUS向韩国安全智库网站上植入ActiveX 0 day漏洞

使用Javascript来执行ActiveX漏洞

LAZARUS向韩国安全智库网站上植入ActiveX 0 day漏洞

VBScript写入temp.vbs,下载并安装恶意软件(splwow32.exe)

如果成功,它从以下位置:http://www.peaceind[.]co.kr/board/skin_poll/gallery/poll.php下载恶意软件到一个名为splwow32.exe的文件。Splwow32.exe是一个非常罕见的恶意软件文件名,之前曾在Taiwan bank heist中被发现,被归咎于另一个Lazarus攻击者的子集。我们还注意到peaceind[.]co.kr网站之前已被确定为存在漏洞。

五、恶意软件

虽然我们无法确定,但基于罕见的文件名、日期和上下文,传播的恶意软件可能是这个文件。该恶意软件被Ahnlab检测为Akdoor.R228914,是一个简单的后门,通过命令提示符执行命令。它有一个独特的命令和控制协议。

当恶意软件通信被解码时,受害者机器会发送一个状态,如:

LAZARUS向韩国安全智库网站上植入ActiveX 0 day漏洞

服务器回应:

LAZARUS向韩国安全智库网站上植入ActiveX 0 day漏洞

我们能够在附录中找到另外两个Akdoor.R228914样本和一个不同的C&C。

六、附录

Yara 规则

rule ActiveXSejongInstitute 
{        
 strings:                
 $a1 = "EasyPayPlugin.EPplugin.1"                
 $a2 = "ACUBEFILECTRL.AcubeFileCtrlCtrl.1"                 
 $a3 = "DUZONERPSSO.DUZONERPSSOCtrl.1"                 
 $a4 = "\\x45\\x61\\x73\\x79\\x50\\x61\\x79\\x50\\x6c\\x75\\x67\\x69\\x6e\\x2e\\x45\\x50\\x70\\x6c\\x75\\x67\\x69\\x6e\\x2e\\x31"                 
 $a5 = "\\x41\\x43\\x55\\x42\\x45\\x46\\x49\\x4c\\x45\\x43\\x54\\x52\\x4c\\x2e\\x41\\x63\\x75\\x62\\x65\\x46\\x69\\x6c\\x65\\x43\\x74\\x72\\x6c\\x43\\x74\\x72\\x6c\\x2e\\x31"                 
 $a6 = "\\x44\\x55\\x5a\\x4f\\x4e\\x45\\x52\\x50\\x53\\x53\\x4f\\x2e\\x44\\x55\\x5a\\x4f\\x4e\\x45\\x52\\x50\\x53\\x53\\x4f\\x43\\x74\\x72\\x6c\\x2e\\x31"                 
 $a7 = "SIClientAccess.SIClientAccess.1"                 
 $a8 = "INIWALLET61.INIwallet61Ctrl.1"         
 condition:                 any of them 
 } 
 
rule splwow32LazarusPayload 
{         
 strings:                 $resp = "TG9naW4gU3VjY2VzcyFcclxuV2VsY29tZSE="        
 condition:                 uint16(0) == 0x5a4d and all of them 
 }

分析脚本URLs

http://aega[.]co.kr/mall/skin/skin.php?id=ksjdnks

http://alphap1[.]com/hdd/images/image.php?id=ksjdnks

http://www.peaceind[.]co.kr/board/icon/image.php?id=ksjdnks

https://www.srider[.]net/www/custom.asp?id=sj

http://www.peaceind[.]co.kr/board/skin_poll/gallery/result.php                         

http://www.sejong[.]org/_lib/conf/conf.php                         

http://www.sejong[.]org/js/jquery-1.5.3.min.js                         

http://www.sejong[.]org/pub/inc/config.php                 

Akdoor.R228914 下载URL

http://www.peaceind[.]co.kr/board/skin_poll/gallery/poll.php                         

Akdoor.R228914 文件Hash

9d3fd05a6f31cf4b7ab858825e58d8008d446fad9fddb03aeb8ee107bceb3641

bcec9c6ff39106505c472c38c94e32773c03facda2e1064c20e3905894e9529e

bf4a0fcfe8ef5205d1ca13c5040335df11daebee45c994bd7504f19937d8da20

Akdoor.R228914 C&C服务器

176.223.112[.]74

164.132.209[.]191

Akdoor.R228914 网络活动检测 (Suricata)

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"AV TROJAN Lazarus Akdoor.R228914 Response"; flow:established,from_server; dsize:38; content:"TG9naW4gU3VjY2VzcyFcclxuV2VsY29tZSE=|0d 0a|"; depth:38; reference:md5,8796fda0510420f6a1daff6ed89851ab; classtype:trojan-activity; sid:xxx; rev:1;)

OTX Pulse

其它指标见OTX

评论

暂无
发表评论
 返回顶部 
热度(372)
 关注微信