导语:Andariel组织是朝鲜黑客组织Lazarus Group的分支,研究人员通过分析该组织在最新活动中使用的侦察技术,发现了未来潜在的攻击对象。
侦察在网络犯罪中起着很重要的作用,一些组织会在调查攻击目标的系统上花费大量的时间,比如朝鲜黑客组织Lazarus Group(拉撒路)的分支Andariel组织。上个月,研究人员发现了Andariel组织用于侦察的新技术,主要攻击目标是韩国。
简介
Andariel在过去几个月非常活跃。韩国IssueMakersLab的安全研究称该组织5月份使用ActiveX的0 day漏洞对韩国的网站发起水坑攻击,即Operation GoldenAxe。6月21日,研究人员发现Andariel对4个被黑的韩国网站注入了恶意脚本,用于监视目的。
研究人员发现新注入脚本代码与Andariel 5月份使用的样本数类似的。不同的是新脚本在尝试收集不同的ActiveX对象消息和目标对象,这些对象之前都不是攻击的目标。
在之前的例子中,该组织在利用0 day漏洞之前收集了用户IE浏览器的目标ActiveX对象。这应该是侦察策略的一部分,来寻找漏洞利用的正确目标。基于此,研究人员认为攻击者这次收集的目标ActiveX对象应该是水坑攻击的下一个目标。为了预防潜在攻击带来的危害,研究人员决定在该组织实施攻击前公布他们的发现。
图1. 水坑侦查流
Andariel技术分析
6月21日,研究人员发现韩国一个非赢利组织的网站被注入了一个收集访问者信息的脚本。而同样的脚本在之前韩国本地政府工会网站也发现过。该侦察活动持续了一周时间,研究人员已通知网站管理员。
因为发现的代码结构和使用的混淆方法都相同,所以研究人员认为注入的脚本同样来自Andariel组织。脚本是用来从访问者的浏览器收集信息的,收集的信息包括浏览器的类型、系统语言、Flash Player的版本、Silverlight版本和多个ActiveX对象。
原始脚本来源于PluginDetect库,利用套件在攻击前用该脚本验证受害者。验证的过程包括发送收集的信息到另一个被黑的网站,该网站保存有攻击者的PHP程序,而且程序也是用来接收这些收集的信息的。
图2. 被注入了收集信息的恶意脚本的被黑网站
IssueMakersLab团队的研究人员共享了关于Andariel组织的一些信息,包括该组织从2007年开始就使用ActiveX漏洞。同时,该组织2017年1月底时候向韩国智库的网站注入了恶意脚本用于侦察活动,并于4月注入了ActiveX 0 day漏洞利用。IssueMakersLab还列出了Andariel组织攻击的ActiveX对象。
在分析中,研究人员注意到新注入的脚本尝试检测两个前面列表中没有列出的ActiveX对象,分别是DSDOWNCTRL.DSDownCtrlCtrl.1和WSACTIVEBRIDGEAX.WSActiveBridgeAXCtrl.1。DSDOWNCTRL.DSDownCtrlCtrl.1与来自韩国文档保护安全供应商的DRM软件相关,WSACTIVEBRIDGEAX.WSActiveBridgeAXCtrl.1与来自韩国的变声软件公司相关。而且许多当地政府和公共组织都使用这些软件。
研究人员对脚本样本收集的信息进行了对比。
除了ActiveX对象外,研究人员发现脚本还添加了新的代码来连接websocket到localhost。
因为变声软件有监听local host websocket的服务,所以注入的脚本可以通过检测是否建立了到端口45461和45462的连接来检测使用这两个端口的软件。
在之前的脚本中验证的过程与ActiveX检测是不同的,因为之前的脚本只适用于IE浏览器。而在6月发现的脚本中,websocket验证可以在Chrome和Firefox这样的浏览器上执行。这说明攻击者扩大了攻击基,而且也对这些软件本身感兴趣,而不仅仅是对ActiveX对象。基于这个变化,研究人员认为未来攻击者将使用攻击向量而不仅仅是ActiveX对象。
图3. 检测变声软件Activex对象和websocket可用性的脚本
图4. 变声软件监听45461和45462端口
建议
侦察是攻击者从潜在攻击者处收集信息来帮助决定未来使用哪些攻击策略的阶段。Andariel组织的新开发过程给出了未来他们的攻击战略。据此,研究人员建议在本地环境中使用分层的安全保护模式。
附:
IOC