追溯朝鮮APT組織Lazarus的攻擊歷程

最近，朝鮮聲名狼藉的APT組織Lazarus又開始活躍起來，先是入侵印度核電站，導致其緊急關閉一座反應堆，然後又向韓國、義大利等國傳送大量釣魚郵件進行攻擊，加上今年年初的數字貨幣交易所入侵事件，Lazarus今年可謂是很“高產”了。鑑於我國也曾在Lazarus的攻擊範圍之內，下面就來了解下Lazarus組織的攻擊手法，以及學習如何對其進行追蹤。

APT組織概述

Lazarus別名APT38、Guardians of Peace，是隸屬於朝鮮的一個APT組織。據一位叛逃到韓國的朝鮮電腦科學教授透露，該組織的成員主要來源於朝鮮RGB海外情報機構的Unit 180部隊，主要負責以獲得外匯為目的的攻擊。

Lazarus組織自2009年就已經開始有活動，不過早期主要是針對美國、韓國進行政治攻擊，後續攻擊目標漸漸擴大到印度、菲律賓、越南、孟加拉等亞洲及歐洲國家。

然而，Lazarus真正映入我們眼簾的其實是2014年的索尼影業入侵事件，2014年，索尼影業在Youtube上首發了電影《刺殺金正恩》的預告片，引起了朝鮮人民強烈不滿，僅僅10天之後，Lazarus就入侵了索尼影業，洩露了大量的還未發行的影片資料，以及高管間的祕密郵件和員工的隱私資訊，逼得索尼影視娛樂公司不得不宣佈取消了該電影的發行和放映計劃。

自這次事件之後，Lazarus逐漸衍變成了一個全球性的黑客組織，先後導演了入侵孟加拉國央行賬號、使用WannaCry大範圍勒索、攻擊5大數字貨幣交易所、破壞印度KNPP核電站的重大安全事件。安全界廠商認為，Lazarus的影響已經遠非一般APT組織所能及。

攻擊元件演變

2013 -- DarkSeoul

Lazarus早期的攻擊元件，以DarkSeoul為代表的DDoS惡意軟體為主，攻擊物件為韓國的媒體、金融、基礎設施行業。

2014 -- Destover

在索尼影業入侵事件中，攻擊者使用了一系列的攻擊元件進行資訊竊取、主機擦除，其中，有一個MBR擦除元件（如下圖）Destover的部分程式碼與之前Lazarus用到的攻擊元件有大量重疊的地方，也基於此，安全廠商確定該次攻擊樣本來自於Lazarus之手。

2016 -- Alreay

在盜竊孟加拉國央行的行動中，Lazarus通過Alreay攻擊元件篡改SWIFT軟體，使得黑客能夠操作銀行賬號任意進行轉賬，從而竊取了8100萬美元。

2017 -- WannaCry

在最早版本的WannaCry病毒中，安全廠商發現了其中存在著Lazarus使用過的程式碼，從而判斷該病毒是由Lazarus製作的。該細節被公佈後，後續版本的WannaCry也將這段程式碼去除。

2019 -- Worldbit-bot

Worldbit-bot基於開源數字貨幣交易軟體Qt Bitcoin Trader進行篡改，竊取賬戶敏感資訊。

2019 -- Dtrack

Dtrack是Lazarus用來攻擊印度核電站所使用的RAT，該攻擊元件與ATMDtrack十分相似，後者曾被用來入侵某印度銀行。該RAT會打包收集主機敏感資訊並上傳。

APT追蹤

對APT組織進行追蹤需要一定的積累，只有熟悉了該組織的常用攻擊手法（TTPs），才能在新型的攻擊中將其辨識出來。其中，通過樣本共用程式碼段進行關聯是最高效的方式，這也突顯了使用yara規則進行樣本分析的好處。

首先，我們需要從已有的樣本中篩選出相同的特徵碼，可以使用Bindiff來比較已有樣本相似的程式碼片段，如下：找到相似度較高且不是系統API的函式。

然後優先選取Blocks數較多、匹配指令數較多的函式。

可以重點挑選一些加密演算法程式碼作為特徵碼，這樣比較沒那麼容易誤報。除此之外，也可以使用一些自動化提取yara規則的工具可以使用，比如yargen：https://github.com/Neo23x0/yarGen。 

如下，是提取出來的wannacry的特徵碼，可以在VT上進行關聯，來追蹤Lazarus的相似攻擊元件。

在VT搜尋框中，輸入：content:"{51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75 04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01 46 56 E8}"，就能篩選出所有具有這個程式碼片段的樣本，直到今年7月份，都還有相關的樣本活躍。

開啟詳細資訊，發現這是Lazarus用於攻擊孟加拉國的alreay攻擊元件，那麼也就說明，WannaCry和Alreay確實有共用的程式碼片段，通過這種方式，就可以關聯出Lazarus所使用的攻擊元件。

將yara規則新增到hunting中，一旦VT捕獲到新的樣本符合這條規則，就會立刻通知我們。