LAZARUS向韩国安全智库网站上植入ActiveX 0 day漏洞
导语:AlienVault的研究人员详细分析了朝鲜黑客组织LAZARUS在一个韩国国家安全智库的网站上植入ActiveX 0 day漏洞的细节。
一、简介
最近,在一个韩国国家安全智库(South Korea think tank)网站上发现了一个ActiveX zero-day。虽然ActiveX控件在大多数系统上都是禁用的,但由于韩国政府的授权,它们仍然在大多数韩国机器上启用。这些攻击事件归咎于朝鲜APT组织Lazarus。
下面分享了我们对攻击的简要分析。
二、分析脚本
第一步是用分析脚本来获取可能的攻击目标信息。我们已经看到了Lazarus之前在他们感染过的其他网站上这样做过,而且这是其他高级攻击者采用的技术。
随后是执行其他分析并传播ActiveX漏洞的脚本。
issuemakerslab对这些脚本的一些细节进行了分享,他们发现了一些随时间而变化的感染:
尽管这些恶意文件已被删除,但urlscan仍保留了同一感染的记录。恶意脚本隐藏在http://www.sejong[.]org/js/jquery-1.5.3.min.js中。
该脚本类似于典型的exploit工具包,它识别用户正在运行的浏览器和操作系统。大部分代码都来自PinLady’s Plugin-Detect。如果目标正在运行Internet Explorer,它将检查是否启用了运行ActiveX以及从特定的ActiveX组件列表查看启用了哪些插件:
· EasyPayPlugin.EPplugin.
· ACUBEFILECTRL.AcubeFileCtrlCtrl.1
· DUZONERPSSO.DUZONERPSSOCtrl.1
结果发送到http://alphap1[.]com/hdd/images/image.php?id=ksjdnks。存储在OTX中的示例URL是:
http://alphap1.com/hdd/images/image.php?id=ksjdnks&w=c2Vqb25n&r=PD89JHJlZmVyZXI/Pg==&o=V2luZG93cyBOVCA2LjE7IFdPVzY0OyBUcmlkZW50LzcuMDsgU0xDQzI7IC5ORVQgQ0xSIDIuMC41MDcyNzsgLk5FVCBDTFIgMy41LjMwNzI5OyAuTkVUIENMUiAzLjAuMzA3Mjk7IE1lZGlhIENlbnRlciBQQyA2LjA7IC5ORVQ0LjBDOyAuTkVUNC4wRTsgcnY6MTEuMA==&lv=KO&bt=-1&bv=&bdv=undefined&fv=MjksMCwwLDE3MQ==&silv=NSwxLDUwOTA3LDA=&ez=false&ac=false&si=false&du=false&iw=false
三、其它分析脚本
很容易找到其他使用相同混淆技术的相似脚本。
一个结果发送到http://aega.co[.]kr/mall/skin/skin.php?id=ksjdnks。
这个网站有可能在之前已被控制,因为它在2015年被用作与Lazarus相关的恶意软件Waketagat的命令和控制服务器。
四、ActiveX 漏洞利用及传播
issumakerslabs 在Twitter上分享了ActiveX漏洞利用:
使用Javascript来执行ActiveX漏洞
VBScript写入temp.vbs,下载并安装恶意软件(splwow32.exe)
如果成功,它从以下位置:http://www.peaceind[.]co.kr/board/skin_poll/gallery/poll.php下载恶意软件到一个名为splwow32.exe的文件。Splwow32.exe是一个非常罕见的恶意软件文件名,之前曾在Taiwan bank heist中被发现,被归咎于另一个Lazarus攻击者的子集。我们还注意到peaceind[.]co.kr网站之前已被确定为存在漏洞。
五、恶意软件
虽然我们无法确定,但基于罕见的文件名、日期和上下文,传播的恶意软件可能是这个文件。该恶意软件被Ahnlab检测为Akdoor.R228914,是一个简单的后门,通过命令提示符执行命令。它有一个独特的命令和控制协议。
当恶意软件通信被解码时,受害者机器会发送一个状态,如:
服务器回应:
我们能够在附录中找到另外两个Akdoor.R228914样本和一个不同的C&C。
六、附录
Yara 规则
rule ActiveXSejongInstitute
{
strings:
$a1 = "EasyPayPlugin.EPplugin.1"
$a2 = "ACUBEFILECTRL.AcubeFileCtrlCtrl.1"
$a3 = "DUZONERPSSO.DUZONERPSSOCtrl.1"
$a4 = "\\x45\\x61\\x73\\x79\\x50\\x61\\x79\\x50\\x6c\\x75\\x67\\x69\\x6e\\x2e\\x45\\x50\\x70\\x6c\\x75\\x67\\x69\\x6e\\x2e\\x31"
$a5 = "\\x41\\x43\\x55\\x42\\x45\\x46\\x49\\x4c\\x45\\x43\\x54\\x52\\x4c\\x2e\\x41\\x63\\x75\\x62\\x65\\x46\\x69\\x6c\\x65\\x43\\x74\\x72\\x6c\\x43\\x74\\x72\\x6c\\x2e\\x31"
$a6 = "\\x44\\x55\\x5a\\x4f\\x4e\\x45\\x52\\x50\\x53\\x53\\x4f\\x2e\\x44\\x55\\x5a\\x4f\\x4e\\x45\\x52\\x50\\x53\\x53\\x4f\\x43\\x74\\x72\\x6c\\x2e\\x31"
$a7 = "SIClientAccess.SIClientAccess.1"
$a8 = "INIWALLET61.INIwallet61Ctrl.1"
condition: any of them
}
rule splwow32LazarusPayload
{
strings: $resp = "TG9naW4gU3VjY2VzcyFcclxuV2VsY29tZSE="
condition: uint16(0) == 0x5a4d and all of them
}
分析脚本URLs
http://aega[.]co.kr/mall/skin/skin.php?id=ksjdnks
http://alphap1[.]com/hdd/images/image.php?id=ksjdnks
http://www.peaceind[.]co.kr/board/icon/image.php?id=ksjdnks
https://www.srider[.]net/www/custom.asp?id=sj
http://www.peaceind[.]co.kr/board/skin_poll/gallery/result.php
http://www.sejong[.]org/_lib/conf/conf.php
http://www.sejong[.]org/js/jquery-1.5.3.min.js
http://www.sejong[.]org/pub/inc/config.php
Akdoor.R228914 下载URL
http://www.peaceind[.]co.kr/board/skin_poll/gallery/poll.php
Akdoor.R228914 文件Hash
9d3fd05a6f31cf4b7ab858825e58d8008d446fad9fddb03aeb8ee107bceb3641
bcec9c6ff39106505c472c38c94e32773c03facda2e1064c20e3905894e9529e
bf4a0fcfe8ef5205d1ca13c5040335df11daebee45c994bd7504f19937d8da20
Akdoor.R228914 C&C服务器
176.223.112[.]74
164.132.209[.]191
Akdoor.R228914 网络活动检测 (Suricata)
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"AV TROJAN Lazarus Akdoor.R228914 Response"; flow:established,from_server; dsize:38; content:"TG9naW4gU3VjY2VzcyFcclxuV2VsY29tZSE=|0d 0a|"; depth:38; reference:md5,8796fda0510420f6a1daff6ed89851ab; classtype:trojan-activity; sid:xxx; rev:1;)
OTX Pulse
其它指标见OTX。