Lazarus APT 组织是总部位于朝鲜的大型集团，其攻击活动足迹遍布世界各地，该组织经常攻击金融

机构和研究中心，以进行经济动机或纯粹的间谍攻击，堪称全球金融机构首要威胁。

在此次攻击活动中，Lazarus 入侵了一批暴漏在公网上的服务器，将入侵的服务器作为Dtrack RAT的 C2 服务端，再以攻陷的服务器为跳板继续其攻击活动，通过钓鱼邮件等攻击方式向目标发送恶意载荷文件例如Dtrack_RAT服务端。本次实验分析主体为Dtrack_RAT服务端。

程序是exe，利用rc4加密了所有的字符串，程序运行期间，rc4解密所有字符串

秘钥gritdjhaychp的rc4加密

WinMain函数

创建新的线程

进入sub_406310

sub_405850读取注册表项

实验环境的注册表项

获取注册表的信息与mac地址拼接组成主机信息包

以anon作为密钥对主机信息包进行异或运算，得到一个4字节的值作为主机ID，实验时得到50BA7BD9

然后对解密出的C2服务器路径文件名后缀进行判断校验，实验时的解密路径后缀为.php

同时发现还存在.jsp和.asp后缀校验，判断出该组织大概率重复使用之前的攻击模块

接着传入主机ID、系统版本和木马版本，以1,0,主机ID,系统版本和木马版本的格式组成上传信息包source

计算上传信息包source的MD5值，取第11位的两个字节

以C2服务器路径+?id=+MD5值的两个字节+上传信息包source组成要访问的地址

将上述信息以POST方式访问C2服务器

接收服务器下发数据保存到tmp文件，同时判断C2是否访问成功（实验时C2地址已失效）

然后进行两次数据解密

读取tmp文件的数据，以FFFFFFFF解密，通过判断tick位置来确定指令格式

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！