追踪溯源:分析Lazarus恶意软件的起源

原文链接:https://www.intezer.com/paleontology-the-unknown-origins-of-lazarus-malware/

0x00 简介

McAfee和Intezer联合开展的研究证明,来自朝鲜的某个攻击小组Lazarus一直在恶意软件工具集中重复使用代码,现在全球安全研究人员都知道这个事实。 研究人员和逆向工程师在分析恶意软件的过程中,发现恶意软件代码存在一种共同模式。 众所周知,攻击者所使用的是开源项目,比如我们在另一篇文章中记载的CodeProject,或者像Gh0st RAT这样的开源RAT。

根据研究人员的描述,大家一直都认为这段代码最早由朝鲜创建,从2007年开始活跃至今。 我们最近在VirusTotal上通过我们的Vaccine功能(Yara签名)发现了一些样本,样本的检测结果可追溯至2016年,通过这种方式我们找到了朝鲜攻击者工具集的起源:一个名为CasperPhpTrojan的开源RAT,该开源项目可在中文网站上获取。

0x02 CasperTroy

最开始时,我们在野外发现的这个样本与Lazarus组织的签名匹配,并且只有3/65的检测率。 在Intezer Analyze™中检查后,我们看到了该样本与Red Gambler存在代码重用现象,这与AhnLab最初公布的结果一致。

https://analyze.intezer.com/#/analyses/47eff0cd-fc54-44c4-ba33-18e0ae21f3ca

在特洛伊木马中,我们还可以看到该模块的内部名称为DllTroy.dll,这与Lazarus的已知特征有关。

字符串重用是我们这次研究的基础,并将很快揭晓CasperTroy名称的来源。 许多攻击活动、Operation Troy(从2011年开始的某次Lazarus攻击活动)所使用的典型Lazarus样本以及攻击组织武器库中的另一款工具Prioxer中都存在重复使用的字符串。

我们看到重复的字符串,决定在Google上搜索7d414e351603fa,只找到了7个结果,这将带我们进入本研究的下一个主题 :朝鲜的恶意软件工具集源自哪里?

0x03 CasperPhpTrojan来源

这个开源木马CasperPhpTrojan的源代码最初发布在中国开源项目网站pudn[.]com上。 我们下载了源代码,阅读并编译整个代码,发现可以在Lazarus恶意软件中识别出类似特征。 我们想通过比较原始代码和不同Lazarus二进制文件的反汇编来向大家展示我们收集的一些证据。 此外,大部分证据都记录在之前的文章中,文中我们提到代码中存在一些奇怪特征,并且相同的代码是不断被重复使用:即使代码存在错误也依然如此,如下的第三个案例所示。

1、HTTP头部(各种攻击活动及恶意软件)

(CASPER.CPP)

(不同Lazarus样本反汇编后的结果)

2、TrojUploader函数

(casper_trojan.cpp)

(TDrop样本)

3、GetProcAddress(LoadLibrary(“Kernel32.dll”), “GetProcAddress”);

(CASPER.CPP)

(2014及2017年的Lazarus样本)

4、API解析过程

(casper_inject.cpp)

(各种Lazarus样本)

0x04 总结

尽管Lazarus对CasperPhpTrojan进行了许多修改,但主要架构基本相同。我们相信,当源代码在正确的环境下使用正确的标志进行编译时,可以发现编译出的代码和Lazarus二进制文件之间存在更多相关性。 看上去该恶意软件是攻击者工具集的基础,这也是为什么在与迈克菲关于朝鲜的全面研究中我们会发现Lazarus恶意软件之间存在如此多代码复用特征的原因所在。 大家可以在您可能希望在我们的DPRK时间线上了解我们分析出的攻击时间表以及代码复用的相关文件。

0x05 IOC

CasperTroy(2016)释放器

458ffcc41959599f8dab1fd4366c9a50efefa376e42971c4a436aa7fd697a396
d1cf03fbcb6471d44b914c2720821582fb3dd81cb543f325b2780a5e95046395

CasperTroy(2016)RAT

ec73fe2ecc2e0425e4aeb1f01581b50c5b1f8e85475c20ea409de798e6469608
c62ec66e45098d2c41bfd7a674a5f76248cf4954225c2d3a2cfcd023daa93522
926a2e8c2baa90d504d48c0d50ca73e0f400d565ee6e07ad6dafdd0d7b948b0e

CasperTroy C&C地址

http://ready-jetkorea[.]com/data/file/pop/write_ok.php
http://plsong[.]com/xe/addons/counter/conf/write_ok.php

共享代码的样本

TDrop f4b7b36e9c940937748d5bba3beb82b7c3636f084e5e913c7a5ad3ad623ffbc5
MYDOOM 1b6a1320fba00dd2e56e35cf6f11f941deabcb6e4dba7ea773ded7e3d648ec54
KoreDos 068b89e2ec5655d006f2788ea328e5f12bd57ba761ee03c4de2fb0aa01c92c7f
DarkSeoul 4915f53221dc7786710a7a82a9cb00cf8468e0d1155a1355c9eb17e8cddfd265

源链接

Hacking more

...