概述
一直以来,木马样本的免杀率都是各个APT组织高度关注的要点,随着杀毒软件的更新迭代,检出方法不断的完善,恶意样本的检出率也随之提高,攻击者为进一步对抗而使用了各种匪夷所思的绕过方法、千奇百怪的免杀方法。近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中便发现Lazarus组织最新的0杀软查杀攻击样本,样本为VHD(虚拟磁盘映像)文件,以日本瑞穗银行(Mizuho Bank)的招聘信息为诱饵进行攻击。
https://www.virustotal.com/gui/file/826f2a2a25f7b7d42f54d18a99f6721f855ba903db7b125d7dea63d0e4e6df64/detection
https://twitter.com/RedDrip7/status/1595365451495706624
样本分析
0x01 VHD虚拟磁盘映像文件
在威胁狩猎过程中,我们并未捕获到初始攻击载荷,结合VHD文件,我们猜测初始攻击载荷应该是鱼叉攻击邮件,通过邮件中的附件诱骗受害者点击打开VHD文件。在实际的环境中,Win7系统并不支持直接打开该类文件,因此该样本可能主要针对高版本Windows系统。
在文件名中使用大量空格来隐藏.exe后缀;
使用PDF图标进行伪装,降低受害者的警惕性。
此外,令人值得注意的细节是,VHD中的文件修改日期为2022年11月22日14时,与VT首次上传日期仅相隔一个半小时。其VHD文件中的相关样本信息如下:
文件名 | MD5 |
Job_Description.vhd | 3CE53609211CAE4C925B9FEE88C7380E |
Job_Description.exe | 931D0969654AF3F77FC1DAB9E2BD66B1 |
Job_Description.pdf | 51BF3E91A5325C376282DF959486D5E3 |
Dump.bin | 31E154E560DFF21F07F8AFF37BE6DE9B |
其中Job_Description.pdf为诱饵pdf,在点击执行Job_Description.exe后会展示给用户,诱饵内容为日本瑞穗银行(Mizuho Bank)的招聘信息。
0x02 Job_Description.exe
Job_Description.exe实际为加载器。样本执行后,首先获取当前时间戳,将文件夹中的Dump.bin拷贝到%appdata%\Microsoft\Windows\Templates目录,并以”war[时间戳][随机数].bin”格式命名。
随后将复制后的.bin文件读取到内存中,将文件第一个字节作为key,异或解密前一千个字节,恢复PE头后并写回。
然后使用LoadLibraryW将解密后的dll加载进内存,并调用导出序号为1的导出函数执行后续操作。
0x03 dll
加载的dll首先使用Lazarus组织常用的动态加载函数。
然后读取dll到内存中,获取末尾四字节用于定位配置信息,然后使用标准RC4算法进行解密,使用的RC4算法密钥是硬编码在文件中的,密钥为“FaDm8CtBH7W660wlbtpyWg4jyLFbgR3IvRw6EdF8IG667d0TEimzTiZ6aBteigP3”。
随后创建系统进程快照,检测系统中当前运行的进程是否包含国外安全厂商相关杀软的进程,并且所检测的大部分厂商的杀软会对应两个进程名。若存在指定进程,便给对应的全局变量赋值为1。
检测的进程名称如下:
进程名 | 进程信息 |
SavService.exe | Sophos Anti-Virus Software相关进程 |
avp.exe | 卡巴斯基杀毒软件相关程序 |
klnagent.exe | 卡巴斯基网络代理程序 |
AvastSvc.exe | Avast杀毒软件的服务进程 |
AvastUI.exe | Avast杀毒软件用户界面进程 |
avguard.exe | 杀毒软件小红伞(Avira)的监控进程(AntiVir Guard) |
SentryEye.exe | Avira Product Family产品组件 |
bdagent.exe | BitDefender Professional杀毒软件相关程序 |
vsserv.exe | Bull Guard网络安全套装和BitDefender相关程序 |
coreServiceShell.exe | 趋势杀毒软件核心组件 |
uiSeAgnt.exe | 趋势科技Worry-Free Business Security的组件 |
MsMpEng.exe | Windows Defender自动保护服务的核心进程 |
当系统中存在趋势科技、BitDefender、WindowsDefender其中之一的进程时,则重载ntdll.dll,以取消杀软对ntdll.dll的hook,从而绕过杀软监测。
随后创建名为“da9f0e7dc6c52044fa29bea5337b4792b8b873373ba99ad816d5 c9f5f275f03f”的互斥体。若存在互斥体或当前进程非Job_Description.exe进程创建,则打开诱饵pdf,随即退出进程。
另外在绕过杀软方面,若存在BitDefender、WindowsDefender其中之一时,使用cmd延时10秒后创建rundll32.exe调用其导出函数。
在与C2连接方面,使用curl.exe来进行后续载荷的获取,创建管道来进行读取,并判断有无Avira或Avast杀毒软件来请求不同数据。
将读取的文件经RC4解密后,若无Avira或Avast杀毒软件,则创建远程线程执行。若有Avira或Avast杀毒软件,则将数据写入marcoor.dll,随后调用rundll32.exe执行其导出函数,再次请求C2获取后续。遗憾的是,虽然捕获时样本属于近期攻击样本,但在我们的尝试中,始终无法获取到后续载荷。
溯源与关联
文件名 | MD5 |
Job_Description.vhd | A17E9FC78706431FFC8B3085380FE29F |
Job_Description.exe | 931D0969654AF3F77FC1DAB9E2BD66B1 |
Job_Description.pdf | 7EA3AD49DBAD5DC0DB9AB253197AD561 |
Dump.bin | 2A7745C1B6FBC60C88487908A1D39EBB |
其中Job_Description.exe加载器与我们披露的一致,而诱饵文件则是日本三井住友银行(Sumitomo Mitsui Banking Corporation)的招聘信息。
此外,我们发现两者文件大小均为13MB左右,我们怀疑是Lazarus组织在使用工具批量制作攻击样本。于是我们在样本数据库中检索VHD文件以及13MB大小的文件时,我们又发现了两个疑似针对我国的攻击文件,其文件信息如下:
文件名 | MD5 |
放假通知.vhd | 08C14DD68DA6800A6E630B0E6BEE8F6F |
放假通知压2.vhd | 86B415DBF3BF56A7B03E5625A6139DE7 |
两个VHD文件中均包含Adfind工具,在Github上可公开获取【4】,其主要作用是获取AD域的相关信息,并且该工具在2022年9月8日思科发文披露Lazarus组织的活动中被使用【5】。
而在对C2进行关联时我们发现有两个与C2有关联的VBA文件。经分析,为Lazarus常用的vbs脚本。
总结
APT组织攻击一直以来对于国家和企业来说都是一个巨大的网络安全威胁,通常由某些人员精心策划,出于商业或政治动机,针对特定组织或国家,并且会在长时间的攻击活动中保持高度的隐蔽性。
因此,奇安信红雨滴团队提醒广大用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOCs
3CE53609211CAE4C925B9FEE88C7380E
931D0969654AF3F77FC1DAB9E2BD66B1
31E154E560DFF21F07F8AFF37BE6DE9B
A17E9FC78706431FFC8B3085380FE29F
2A7745C1B6FBC60C88487908A1D39EBB
08C14DD68DA6800A6E630B0E6BEE8F6F
86B415DBF3BF56A7B03E5625A6139DE7
3B06B63DF1DFD4FB21E8196E4EF910DC
234260684F0406A443AB7D7558ECE5B9
341B2C4D99BEBAF345AB3C3E2A5E892C
A4A33AA68310AFF5CD023658CE11813C
0A8A4E2D462FB4B56EA98B25D5B1BDB3
URL
https://azure.protection-service.cloud/GJ4EDAp_dNg/lIHlIP4QM7/GQKGPNuo4R/c5njZjK9Tq/J7rC%2BBrm/ZoQVg%3D%3D
https://docs.azure-protection.cloud/EMPxSKTgrr3/2CKnoSNLFF/0d6rQrBEMv/gGFroIw5_m/n9hLXkEOy3/wyQ%3D%3D
https://azure.protection-service.cloud/7eEznAhLPT/7WfzhdrG_aj2/yKK3eGVlT4w_/SAO4_j71MnZD/IpOkszug%3D%3D
https://azure.protection-service.cloud/7eEznAhLPT7/WfzhdrG_aj/86jwHvubI7/uZWEU3fnbO/X6afSoRAFO/rtg%3D%3D
https://azure.protection-service.cloud/7eEznAh/LPT7Wfzhdr/G_aj2yKK/3eGVlT4w_SAO/4_j71MnZDIp/Okszug%3D%3D
https://azure.protection-service.cloud/7eEznAhLPT7/WfzhdrG_aj/86jwHvubI7/uZWEU3fnbO/X6afSoRAFO/rtg%3D%3D
https://azure.online-protection.cloud/LHBolFYltdn/Qn8_n_jl8l/c%20nBcWur/mS%20czEUk/7ewjkm=
https://secure.azure-protection.cloud/wcqtZBk3pEs/fD5ZkUg7TL/n_W_EPni7p/%2BZWEU3fn/bOX6afSoRA/FOrtg%3D%3D
https://verify.azure-protect.online/EcCm9WiaysW/D%2BsYq1Io/yVMuSbkgQZ/Vp6bzP5LXe/Ec08P4lt6g/cBSBQ%3D%3D
参考链接
[2] https://twitter.com/RedDrip7/status/1595365451495706624
[3] https://twitter.com/h2jazi/status/1595440184551739398
[4] https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1087.002/src
[5] https://blog.talosintelligence.com/lazarus-three-rats/
点击阅读原文至ALPHA 5.0
即刻助力威胁研判