首页
社区
课程
招聘
[原创]Lazarus针对医药行业攻击的远控木马浅析
发表于: 2021-3-12 11:37 5143

[原创]Lazarus针对医药行业攻击的远控木马浅析

2021-3-12 11:37
5143

Lazarus APT 组织是总部位于朝鲜的大型集团,其攻击活动足迹遍布世界各地,该组织经常攻击金融

机构和研究中心,以进行经济动机或纯粹的间谍攻击,堪称全球金融机构首要威胁。

在此次攻击活动中,Lazarus 入侵了一批暴漏在公网上的服务器,将入侵的服务器作为Dtrack RAT的 C2 服务端,再以攻陷的服务器为跳板继续其攻击活动,通过钓鱼邮件等攻击方式向目标发送恶意载荷文件例如Dtrack_RAT服务端。本次实验分析主体为Dtrack_RAT服务端。

程序是exe,利用rc4加密了所有的字符串,程序运行期间,rc4解密所有字符串

QQ截图20210212165218.png

秘钥gritdjhaychp的rc4加密

WinMain函数

QQ截图20210212165616.png

创建新的线程

QQ截图20210212165852.png

进入sub_406310


QQ截图20210212170500.png

sub_405850读取注册表项

QQ截图20210212172846.png

实验环境的注册表项

QQ截图20210212173343.png

获取注册表的信息与mac地址拼接组成主机信息包

QQ截图20210212180711.png

以anon作为密钥对主机信息包进行异或运算,得到一个4字节的值作为主机ID,实验时得到50BA7BD9

QQ截图20210212181518.png

然后对解密出的C2服务器路径文件名后缀进行判断校验,实验时的解密路径后缀为.php

QQ截图20210213141408.png

同时发现还存在.jsp和.asp后缀校验,判断出该组织大概率重复使用之前的攻击模块

接着传入主机ID、系统版本和木马版本,以1,0,主机ID,系统版本和木马版本的格式组成上传信息包source

QQ截图20210213132303.png

计算上传信息包source的MD5值,取第11位的两个字节

QQ截图20210213123157.png

C2服务器路径+?id=+MD5值的两个字节+上传信息包source组成要访问的地址

QQ截图20210213131043.png

QQ截图20210213142827.png

将上述信息以POST方式访问C2服务器

QQ截图20210213132509.png

接收服务器下发数据保存到tmp文件,同时判断C2是否访问成功(实验时C2地址已失效)

QQ截图20210213143341.png

然后进行两次数据解密

读取tmp文件的数据,以FFFFFFFF解密,通过判断tick位置来确定指令格式


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 2
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//