-
-
[原创]Lazarus针对医药行业攻击的远控木马浅析
-
发表于: 2021-3-12 11:37 5143
-
Lazarus APT 组织是总部位于朝鲜的大型集团,其攻击活动足迹遍布世界各地,该组织经常攻击金融
机构和研究中心,以进行经济动机或纯粹的间谍攻击,堪称全球金融机构首要威胁。
在此次攻击活动中,Lazarus 入侵了一批暴漏在公网上的服务器,将入侵的服务器作为Dtrack RAT的 C2 服务端,再以攻陷的服务器为跳板继续其攻击活动,通过钓鱼邮件等攻击方式向目标发送恶意载荷文件例如Dtrack_RAT服务端。本次实验分析主体为Dtrack_RAT服务端。
程序是exe,利用rc4加密了所有的字符串,程序运行期间,rc4解密所有字符串
秘钥gritdjhaychp的rc4加密
WinMain函数
创建新的线程
进入sub_406310
sub_405850读取注册表项
实验环境的注册表项
获取注册表的信息与mac地址拼接组成主机信息包
以anon作为密钥对主机信息包进行异或运算,得到一个4字节的值作为主机ID,实验时得到50BA7BD9
然后对解密出的C2服务器路径文件名后缀进行判断校验,实验时的解密路径后缀为.php
同时发现还存在.jsp和.asp后缀校验,判断出该组织大概率重复使用之前的攻击模块
接着传入主机ID、系统版本和木马版本,以1,0,主机ID,系统版本和木马版本的格式组成上传信息包source
计算上传信息包source的MD5值,取第11位的两个字节
以C2服务器路径+?id=+MD5值的两个字节+上传信息包source组成要访问的地址
将上述信息以POST方式访问C2服务器
接收服务器下发数据保存到tmp文件,同时判断C2是否访问成功(实验时C2地址已失效)
然后进行两次数据解密
读取tmp文件的数据,以FFFFFFFF解密,通过判断tick位置来确定指令格式
赞赏
看原图
赞赏
雪币:
留言: