Lazarus主要攻击拉美和亚洲的金融组织。该组织最近比较活跃,攻击活动显示其攻击工具和技术在不断进化。研究人员发现该组织成功将木马植入了许多拉美的金融机构计算机中。
根据加载器模块的创建的服务日期,研究人员确定后门安装的日期是2018年9月19日。研究人员分析发现,攻击中使用的一些技术与2017 Lazarus攻击所用的技术比较类似。2017年的攻击的关键之一是使用了FileTokenBroker.dll,本次攻击活动中也使用了相同的模块化后门。针对攻击中所用的后门分析,研究人员发现还使用了AuditCred.dll/ROptimizer.dll:
表1: 两次攻击活动中加载器模块相似处
后门分析
Lazarus组织使用了一系列的后门和复杂的技术,包括3个主要模块:· AuditCred.dll/ROptimizer.dll :loader DLL以服务的形式启动。· Msadoz.dll 加密的后门,n 是loader dll的文件名中的字母数。· Auditcred.dll.mui/rOptimizer.dll.mui 加密的配置文件
图 1: 模块化后门的加载顺序
loader DLL会以服务的形式安装,并在不同的机器上使用不同的名称。但拥有相同的能力和必要文件。其目的是加载Msadoz.dll 来在内存中解密和执行。
图 2: AuditCred/ROptimizer服务
如果成功安装,该后门会成为目标的威胁。后门功能包括:· 收集文件、文件夹、驱动信息· 下载文件和其他的恶意软件· 启动、终止、枚举进程· 更新配置数据· 删除文件· 从文件注入代码到其他运行的进程· 使用 *** · 打开逆向shell· 以passive模式运行来连接C2服务器,后门会打开和监听端口,随后接收命令
后门加载后,就加载加密的配置文件Auditcred.dll.mui/rOptimizer.dll.mui来提取C2信息,并连接到C2。连接C2对执行活动是非常必要的,基于后门的功能,这些执行的动作会对目标造成伤害。
图 3: 解密的之一步:用前面的邻接字节对除之一个字节以外的所有字节执行XOR,从最后一个字节开始
图 4: 解密第2步使用RC4,使用之一步生成的前0x20字节作为RC4 Key
图 5: 加密的配置文件(上)和解密的配置文件(下)
加载器模块和配置文件位于相同目录(%windows%\system32),加密的后门位于不同目录(%Program Files%\Common Files\System\ado)。这个复杂的设置会使对后门的检测和移除变得很难,可以更有效地隐藏任意活动。这些后门的复杂性和功能对于目标组织来说是一很大的威胁,因为其攻击的复杂性,因此需要同样复杂的安全方案。
总结
Lazarus组织是一个非常有经验的攻击组织,该组织也在根据企业和安全厂商的防御措施在不断地发展其工具。使用的后门很难检测,对企业的隐私和安全带来很大的威胁。攻击者使用后门可以窃取信息、删除文件、安装恶意软件等等。可以通过周期性的扫描 *** 来预防恶意软件进入企业并在企业内传播。对员工进行教育预防社会工程攻击可以缓解此类攻击。
IoC
C2服务器107[.]172[.]195[.]20192[.]3[.]12[.]15446[.]21[.]147[.]16
本文目录一览: 1、假如你是《黑客帝国》里的尼欧,你会选择什么颜色的药丸,红还是蓝,为什么? 2、黑客帝国4有彩蛋吗 3、在《黑客帝国》里面,你知道史密斯为何称呼先知为母亲吗? 假如你是《黑...
1、打开手机上的设定。2、点一下表明与色度。3、最终将抬起唤醒按键打开就可以。 知名品牌型号规格:iPhone12 系统软件:IOS14.3 iPhone抬起唤醒如何设置,下边与大伙儿共享苹果怎么设定...
黑客链接全攻略2 时郎去中央广场找司,聊完后决定一起前往『Θそびえたつ 无限の 大砦』。 此时天城彩花逼时郎去向司索要『クロノコア』,但是司居然完全不知道那是玩意。时郎也没有办法,只好先攻略这个地图吧...
站在一百层楼落地窗前,我默默点了一支烟,想到一年前,这里每晚灯火通明,办公室里男男女女,好不热闹,个个脸上带着幸福地笑容,充满生机,干劲十足。现在,房间只有我一个人,地上都是散落的种种文件,灯光黯淡,...
SEO优化主要是措施上的优化 假如在靠山措施,要看你的靠山有没有模板成果 CMS的都是可以的。 以百度为例,假如只是需要去掉相关负面信息的快照信息,可在快照功效点击举报,可以举报其他站点收录、排名、揭...
大李在EMC肖朗办公室,翻出带有微型摄头的帽徽和帽子,当这些证据被放到冯市长面前时,冯市长立刻下达命令,公安局配合EMC展开了对肖朗的抓捕行动就在此时,带鱼和。孟少杰在百忙中,赶来急救中心看望为救他中...