导语:本文分析Lazarus组织攻击美中部在线赌场时所使用的工具集,包括磁盘擦除工具KillDisk和窃取Windows凭证的Mimikatz等。
Lazarus组织如此出名是在于2014年攻击了索尼影视娱乐公司的服务器,泄露了该公司的许多机密数据。2017年底,研究人员发现该组织仍然活跃,应用一些恶意工具来攻击一些目标,这些工具包括能够擦除磁盘信息的恶意软件KillDisk。
本文分析一些Lazarus组织使用的工具集,包括KillDisk。KillDisk是在被黑的设备上执行的磁盘擦除工具。
Lazarus工具集
Lazarus组织使用的工具集很广泛,研究人员发现有一些子组织。不像其他的网络犯罪组织,Lazarus工具的任何代码都没有泄露。Lazarus组织使用的一些工具集是来自GitHub,其他一些来自商业化软件。
Casino攻击中的Lazarus工具
本节会描述一些在美国中部在线赌场网络的服务器和终端上检测到的恶意工具。研究人员有理由相信这些恶意软件与Lazarus组织相关,ESET检测到的Lazarus恶意软件有Win32/NukeSped和Win64/NukeSped。几乎所有的工具都是Windows服务,所以管理员权限是必须的。
TCP后门
Win64/NukeSped.W是系统中安装的一项服务,是用于配置的应用。最初的一项执行步骤包括栈中动态解析必须的DLL名:
同样地,上面Windows API的步骤名称也是动态构建的。在这个特殊的样本中,是明文可见的;在过去的一些样本中,研究人员是以字符为单位在堆栈上进行base64编码,加密或解析的。
这都是Lazarus恶意软件的典型特征。另一个Lazarus的特征就是后门,它会监听特定的端口,而该端口也不会被防火墙拦截。
后门支持20种命令,这些命令与之前发现的Lazarus样本相似:
在文件系统中创建了很多文件,监听的端口储存在文件%WINDOWS%\Temp\p中。文件%WINDOWS%\Temp\perflog.evt含有一个要注入,执行和写入注册表的二进制文件的路径。
在+的选项中,cmd.exe /c “%s 2>> %s” (cmd.exe /c “%s >> %s 2>&1”)的输出数据记录在%WINDOWS%\Temp\perflog.dat中。
Session劫持器
Win64/NukeSped.AB是在当前受害者系统中创建一个当前未登录的用户的进程的一个配置应用。在本例中,以C:\Users\public\ps.exe的形式安装。
样本中有一些共同的特征,分别是同样的PE编译时间戳,相同的Rich Header链接数据,和部分的资源版本:
当PE时间戳和资源从Windows 7SP1的合法PREVHOST.EXE文件中窃取出来时,其中是没有链接数据的,原来的微软文件是通过Visual Studio 2008(9.0)编译和链接的。随后的动态分析确认了被黑的在线赌场网络中的文件是与Polish和Mexican攻击中的session hijacker相关的。
加载器Loader/installer
这是一个接收许多switch的简单命令行工具。该工具的作用是与其他进程(通过PID或者名字注入和杀死进程)、服务(中止或重新安装服务)和文件(drop/remove)一起工作。具体的功能是与参数相关的。
KillDisk变种
KillDisk是ESET用来命名所有检测到的有擦除功能的恶意软件,比如对boot单元造成破坏,覆写和删除系统文件等。虽然所有的KillDisk恶意软件含有相同的功能,但不同样本的代码相似性和相关性并不强。
在美国中部在线赌场的案例中,研究人员在其网络中检测到两个Win32/KillDisk.NBO的变种。研究人员在企业超过100台主机中检测到了该恶意软件。基于这些数据,加上检测到的Win32/KillDisk.NBO变种和目标网络中的其他Lazarus恶意软件,研究人员相信KillDisk恶意软件与Lazarus组织有关。
对2个Win32/KillDisk.NBO变种的分析发现他们有很多的代码相似性。这与攻击拉美金融组织的KillDisk变种几乎完全相同。在对赌场的攻击中,KillDisk变种的路径是 C:\Windows\Temp\dimens.exe
嵌入的payload是注入到系统集成werfault.exe中的:
其中一个变种是由商业PE保护器VMProtect保护的,这会让解压变难。攻击者可能并不会去购买licence,但是可能会使用网络上泄漏的licence。然而用protectors在Lazarus组织也是常见的,在2017年2月的Polish和Mexican攻击事件中,他们就使用了Enigma Protector,一种VMProtect的老一点的版本。
通用的Lazarus格式字符
许多典型的字符也具有用于分类。下表就是Lazarus相关的TCP后门:
这可能不是一个有信服力的线索,但是在ESET检查恶意软件样本的格式字符串时发现,只有Lazarus组织的样本中会有这样的结果。研究人员得出结论,这些格式字符是与Lazarus组织相关的。
其他工具
在在线赌场攻击事件中至少还使用了两个工具,分别是Browser Password Dump和Mimikatz。
Browser Password Dump
该工具的作用是从主流的web浏览器中提取密码。该工具从2014年12月就开始被使用了,是一种比较古老和有名的技术。在当前最新的Google Chrome版本(64.0.3282.186), Chromium版本(67.0.3364.0), Microsoft Edge版本(41.16299.15.0) 和Microsoft Internet Explorer版本(11.0.9600.17843)。该工具对Firefox或Opera的最新版本是不奏效的。
Mimikatz
攻击者还使用了一个开源工具Mimikatz,该工具是用来窃取Windows凭证的。Mimikatz会接受一个参数,也就是文件名来存储输出的文件。如果没有接收到参数默认会输出到与Mimikatz相同目录的 ~Temp1212.tmp文件。输出的文件含有当前登录用户的Windows凭证的哈希值。Mimikatz也是APT组织和其他网络犯罪分子常用的工具。
感染单元
上面提到的大多数工具都会在攻击的第一阶段由恶意释放器和加载器下载并安装在受害者系统中。攻击者还是用Radmin 3和LogMeIn这样的远程访问工具来远程控制受害者设备。
结论
这起攻击事件说明Lazarus组织的工具集在每次攻击中都会重新编译。攻击本身是很复杂的,含有许多的步骤,以及数十个受保护的工具。攻击者使用KillDisk主要的原因有两个,一是在监听活动之后覆盖自己的足迹,二是直接用于攻击活动。同时,研究人员发现该攻击中企业网络有超过100台终端和服务器被感染恶意软件,说明攻击者在攻击前做了很多的准备工作。