标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-1543] 作者: 浩丶轩 发表于: [2018-06-17]
本文共 [375] 位读者顶过
导语:AlienVault的研究人员详细分析了朝鲜黑客组织LAZARUS在一个韩国国家安全智库的网站上植入ActiveX 0 day漏洞的细节。 [出自:jiwo.org] 一、简介 最近,在一个韩国国家安全智库(South Korea think tank)网站上发现了一个ActiveX zero-day。虽然ActiveX控件在大多数系统上都是禁用的,但由于韩国政府的授权,它们仍然在大多数韩国机器上启用。这些攻击事件归咎于朝鲜APT组织Lazarus。 下面分享了我们对攻击的简要分析。 二、分析脚本 第一步是用分析脚本来获取可能的攻击目标信息。我们已经看到了Lazarus之前在他们感染过的其他网站上这样做过,而且这是其他高级攻击者采用的技术。 随后是执行其他分析并传播ActiveX漏洞的脚本。 issuemakerslab对这些脚本的一些细节进行了分享,他们发现了一些随时间而变化的感染:
尽管这些恶意文件已被删除,但urlscan仍保留了同一感染的记录。恶意脚本隐藏在http://www.sejong[.]org/js/jquery-1.5.3.min.js中。 该脚本类似于典型的exploit工具包,它识别用户正在运行的浏览器和操作系统。大部分代码都来自PinLady’s Plugin-Detect。如果目标正在运行Internet Explorer,它将检查是否启用了运行ActiveX以及从特定的ActiveX组件列表查看启用了哪些插件: · EasyPayPlugin.EPplugin. · ACUBEFILECTRL.AcubeFileCtrlCtrl.1 · DUZONERPSSO.DUZONERPSSOCtrl.1
结果发送到http://alphap1[.]com/hdd/images/image.php?id=ksjdnks。存储在OTX中的示例URL是: http://alphap1.com/hdd/images/image.php?id=ksjdnks&w=c2Vqb25n&r=PD89JHJlZmVyZXI/Pg==&o=V2luZG93cyBOVCA2LjE7IFdPVzY0OyBUcmlkZW50LzcuMDsgU0xDQzI7IC5ORVQgQ0xSIDIuMC41MDcyNzsgLk5FVCBDTFIgMy41LjMwNzI5OyAuTkVUIENMUiAzLjAuMzA3Mjk7IE1lZGlhIENlbnRlciBQQyA2LjA7IC5ORVQ0LjBDOyAuTkVUNC4wRTsgcnY6MTEuMA==&lv=KO&bt=-1&bv=&bdv=undefined&fv=MjksMCwwLDE3MQ==&silv=NSwxLDUwOTA3LDA=&ez=false&ac=false&si=false&du=false&iw=false 三、其它分析脚本 很容易找到其他使用相同混淆技术的相似脚本。 一个结果发送到http://aega.co[.]kr/mall/skin/skin.php?id=ksjdnks。 这个网站有可能在之前已被控制,因为它在2015年被用作与Lazarus相关的恶意软件Waketagat的命令和控制服务器。 四、ActiveX 漏洞利用及传播 issumakerslabs 在Twitter上分享了ActiveX漏洞利用:
使用Javascript来执行ActiveX漏洞
VBScript写入temp.vbs,下载并安装恶意软件(splwow32.exe) 如果成功,它从以下位置:http://www.peaceind[.]co.kr/board/skin_poll/gallery/poll.php下载恶意软件到一个名为splwow32.exe的文件。Splwow32.exe是一个非常罕见的恶意软件文件名,之前曾在Taiwan bank heist中被发现,被归咎于另一个Lazarus攻击者的子集。我们还注意到peaceind[.]co.kr网站之前已被确定为存在漏洞。 五、恶意软件 虽然我们无法确定,但基于罕见的文件名、日期和上下文,传播的恶意软件可能是这个文件。该恶意软件被Ahnlab检测为Akdoor.R228914,是一个简单的后门,通过命令提示符执行命令。它有一个独特的命令和控制协议。 当恶意软件通信被解码时,受害者机器会发送一个状态,如:
服务器回应:
我们能够在附录中找到另外两个Akdoor.R228914样本和一个不同的C&C。 六、附录 Yara 规则 rule ActiveXSejongInstitute { strings: $a1 = "EasyPayPlugin.EPplugin.1" $a2 = "ACUBEFILECTRL.AcubeFileCtrlCtrl.1" $a3 = "DUZONERPSSO.DUZONERPSSOCtrl.1" $a4 = "\\x45\\x61\\x73\\x79\\x50\\x61\\x79\\x50\\x6c\\x75\\x67\\x69\\x6e\\x2e\\x45\\x50\\x70\\x6c\\x75\\x67\\x69\\x6e\\x2e\\x31" $a5 = "\\x41\\x43\\x55\\x42\\x45\\x46\\x49\\x4c\\x45\\x43\\x54\\x52\\x4c\\x2e\\x41\\x63\\x75\\x62\\x65\\x46\\x69\\x6c\\x65\\x43\\x74\\x72\\x6c\\x43\\x74\\x72\\x6c\\x2e\\x31" $a6 = "\\x44\\x55\\x5a\\x4f\\x4e\\x45\\x52\\x50\\x53\\x53\\x4f\\x2e\\x44\\x55\\x5a\\x4f\\x4e\\x45\\x52\\x50\\x53\\x53\\x4f\\x43\\x74\\x72\\x6c\\x2e\\x31" $a7 = "SIClientAccess.SIClientAccess.1" $a8 = "INIWALLET61.INIwallet61Ctrl.1" condition: any of them } rule splwow32LazarusPayload { strings: $resp = "TG9naW4gU3VjY2VzcyFcclxuV2VsY29tZSE=" condition: uint16(0) == 0x5a4d and all of them } 分析脚本URLs http://aega[.]co.kr/mall/skin/skin.php?id=ksjdnks http://alphap1[.]com/hdd/images/image.php?id=ksjdnks http://www.peaceind[.]co.kr/board/icon/image.php?id=ksjdnks https://www.srider[.]net/www/custom.asp?id=sj http://www.peaceind[.]co.kr/board/skin_poll/gallery/result.php http://www.sejong[.]org/_lib/conf/conf.php http://www.sejong[.]org/js/jquery-1.5.3.min.js http://www.sejong[.]org/pub/inc/config.php Akdoor.R228914 下载URL http://www.peaceind[.]co.kr/board/skin_poll/gallery/poll.php Akdoor.R228914 文件Hash 9d3fd05a6f31cf4b7ab858825e58d8008d446fad9fddb03aeb8ee107bceb3641 bcec9c6ff39106505c472c38c94e32773c03facda2e1064c20e3905894e9529e bf4a0fcfe8ef5205d1ca13c5040335df11daebee45c994bd7504f19937d8da20 Akdoor.R228914 C&C服务器 176.223.112[.]74 164.132.209[.]191 Akdoor.R228914 网络活动检测 (Suricata) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"AV TROJAN Lazarus Akdoor.R228914 Response"; flow:established,from_server; dsize:38; content:"TG9naW4gU3VjY2VzcyFcclxuV2VsY29tZSE=|0d 0a|"; depth:38; reference:md5,8796fda0510420f6a1daff6ed89851ab; classtype:trojan-activity; sid:xxx; rev:1;) OTX Pulse 其它指标见OTX。 |