追溯朝鮮APT組織Lazarus的攻擊歷程

深信服千里目發表於2019-11-25

最近,朝鮮聲名狼藉的APT組織Lazarus又開始活躍起來,先是入侵印度核電站,導致其緊急關閉一座反應堆,然後又向韓國、義大利等國傳送大量釣魚郵件進行攻擊,加上今年年初的數字貨幣交易所入侵事件,Lazarus今年可謂是很“高產”了。鑑於我國也曾在Lazarus的攻擊範圍之內,下面就來了解下Lazarus組織的攻擊手法,以及學習如何對其進行追蹤。

APT組織概述


Lazarus別名APT38、Guardians of Peace,是隸屬於朝鮮的一個APT組織。據一位叛逃到韓國的朝鮮電腦科學教授透露,該組織的成員主要來源於朝鮮RGB海外情報機構的Unit 180部隊,主要負責以獲得外匯為目的的攻擊。

追溯朝鮮APT組織Lazarus的攻擊歷程

Lazarus組織自2009年就已經開始有活動,不過早期主要是針對美國、韓國進行政治攻擊,後續攻擊目標漸漸擴大到印度、菲律賓、越南、孟加拉等亞洲及歐洲國家。

追溯朝鮮APT組織Lazarus的攻擊歷程

然而,Lazarus真正映入我們眼簾的其實是2014年的索尼影業入侵事件,2014年,索尼影業在Youtube上首發了電影《刺殺金正恩》的預告片,引起了朝鮮人民強烈不滿,僅僅10天之後,Lazarus就入侵了索尼影業,洩露了大量的還未發行的影片資料,以及高管間的祕密郵件和員工的隱私資訊,逼得索尼影視娛樂公司不得不宣佈取消了該電影的發行和放映計劃。

自這次事件之後,Lazarus逐漸衍變成了一個全球性的黑客組織,先後導演了入侵孟加拉國央行賬號、使用WannaCry大範圍勒索、攻擊5大數字貨幣交易所、破壞印度KNPP核電站的重大安全事件。安全界廠商認為,Lazarus的影響已經遠非一般APT組織所能及。

追溯朝鮮APT組織Lazarus的攻擊歷程

攻擊元件演變


2013 -- DarkSeoul

Lazarus早期的攻擊元件,以DarkSeoul為代表的DDoS惡意軟體為主,攻擊物件為韓國的媒體、金融、基礎設施行業。


2014 -- Destover

在索尼影業入侵事件中,攻擊者使用了一系列的攻擊元件進行資訊竊取、主機擦除,其中,有一個MBR擦除元件(如下圖)Destover的部分程式碼與之前Lazarus用到的攻擊元件有大量重疊的地方,也基於此,安全廠商確定該次攻擊樣本來自於Lazarus之手。

追溯朝鮮APT組織Lazarus的攻擊歷程


2016 -- Alreay

在盜竊孟加拉國央行的行動中,Lazarus通過Alreay攻擊元件篡改SWIFT軟體,使得黑客能夠操作銀行賬號任意進行轉賬,從而竊取了8100萬美元。

追溯朝鮮APT組織Lazarus的攻擊歷程

2017 -- WannaCry

在最早版本的WannaCry病毒中,安全廠商發現了其中存在著Lazarus使用過的程式碼,從而判斷該病毒是由Lazarus製作的。該細節被公佈後,後續版本的WannaCry也將這段程式碼去除。

追溯朝鮮APT組織Lazarus的攻擊歷程


2019 -- Worldbit-bot

Worldbit-bot基於開源數字貨幣交易軟體Qt Bitcoin Trader進行篡改,竊取賬戶敏感資訊。

2019 -- Dtrack

Dtrack是Lazarus用來攻擊印度核電站所使用的RAT,該攻擊元件與ATMDtrack十分相似,後者曾被用來入侵某印度銀行。該RAT會打包收集主機敏感資訊並上傳。

APT追蹤


對APT組織進行追蹤需要一定的積累,只有熟悉了該組織的常用攻擊手法(TTPs),才能在新型的攻擊中將其辨識出來。其中,通過樣本共用程式碼段進行關聯是最高效的方式,這也突顯了使用yara規則進行樣本分析的好處。

首先,我們需要從已有的樣本中篩選出相同的特徵碼,可以使用Bindiff來比較已有樣本相似的程式碼片段,如下:找到相似度較高且不是系統API的函式。

追溯朝鮮APT組織Lazarus的攻擊歷程

然後優先選取Blocks數較多、匹配指令數較多的函式。

追溯朝鮮APT組織Lazarus的攻擊歷程

追溯朝鮮APT組織Lazarus的攻擊歷程


可以重點挑選一些加密演算法程式碼作為特徵碼,這樣比較沒那麼容易誤報。除此之外,也可以使用一些自動化提取yara規則的工具可以使用,比如yargen:https://github.com/Neo23x0/yarGen。 

追溯朝鮮APT組織Lazarus的攻擊歷程

如下,是提取出來的wannacry的特徵碼,可以在VT上進行關聯,來追蹤Lazarus的相似攻擊元件。

追溯朝鮮APT組織Lazarus的攻擊歷程

在VT搜尋框中,輸入:content:"{51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75 04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01 46 56 E8}",就能篩選出所有具有這個程式碼片段的樣本,直到今年7月份,都還有相關的樣本活躍。

追溯朝鮮APT組織Lazarus的攻擊歷程

開啟詳細資訊,發現這是Lazarus用於攻擊孟加拉國的alreay攻擊元件,那麼也就說明,WannaCry和Alreay確實有共用的程式碼片段,通過這種方式,就可以關聯出Lazarus所使用的攻擊元件。

追溯朝鮮APT組織Lazarus的攻擊歷程

將yara規則新增到hunting中,一旦VT捕獲到新的樣本符合這條規則,就會立刻通知我們。

追溯朝鮮APT組織Lazarus的攻擊歷程

相關文章