首页
社区
课程
招聘
[原创]APT Lazarus 样本分析
发表于: 2022-6-27 18:51 15017

[原创]APT Lazarus 样本分析

2022-6-27 18:51
15017

Lazarus(T-APT-15)组织是来自朝鲜的APT组织,该组织长期对韩国、美国进行渗透攻击,此外还对全球的金融机构进行攻击,堪称全球金融机构的最大威胁。该组织最早的攻击活动可以追溯到2007年。


样本为带宏word文档,运行文档后提示用户启用宏,宏在运行过程中解压PNG图片,释放hta恶意代码,创建二阶样本AppStore.exe。二阶样本通过硬编码密钥解密三阶样本到内存中并启动三阶样本。三阶样本尝试向www.jinjinpig.co[.]kr、mail.namusoft[.]kr建立链接,通信成功后等待CC下发指令。


MD5


表 基本信息

样本是一个带宏的韩文world文档,启用宏后自动创建“image003.png”,该图片中压缩了一段zlib恶意对象。随后宏代码将该PNG图片转换成名为“image003.zip”的BMP格式图片,其目的为:通过图片格式转换,解压PNG图片中zlib恶意对象。最后调用mshta运行zlib恶意对象解压出的hta代码,创建二阶样本AppStore.exe。


一阶样本是一个韩语world文档,打开文档后提示用户启用宏,启用宏后显示文档内容。

图 文档界面

图 文档内容

通过监控程序可以发现样本运行后创建了一系列文件

图 文件创建

ALT+F11打开文档宏,发现提示需要输入密码,这里用到工具“olddump.exe”(用pyinstaller将oledump.py打包成exe方便使用)绕过密码限制查看宏。宏代码中发现部分字符串用BS64方式编码,解码字符串,其含义为:WMI对象、mshta、“zip”文件后缀。经分析宏代码主流程为:创建“image003.png”并将.png格式转换为.bmp格式并重命名为“image003.zip”(image003.zip=image003.bmp),随后使用mshta运行“image003.zip”,最后删除目录。

图 宏代码


使用binwalk打开“image003.png”,发现其存在zlib压缩部分。BMP格式为未压缩图文格式,攻击者将zlib恶意对象压缩到PNG图中能避开静态检测,将PNG转换为BMP格式时会解压恶意zlib对象。

图 PNG格式


记事本打开“image003.bmp”,发现内部有js代码,其功能为:创建'C:/Users/Public/Libraries/AppStore.exe'。删除无用部分并修改“image003.bmp”为“image003.hta”,双击运行,即可获得二阶样本AppStore.exe。

图 BMP格式


表 基本信息

运行该样本后会产生网络链接,但样本自身无网络模块。样本多次使用解密及内存拷贝函数获取所需字符串。样本末尾存在大量加密字符串,经分析分别为二阶样本字符串解密密钥和三阶样本。


a)请求2个域名 www.jinjinpig.co.kr、mail.namusoft.kr,请求失败后删除自身

b)尝试创建“C:\Users\root\AppData\Local\Temp\edg89COA.bat”

图 域名请求


图 文件创建

IDA打开样本,未发现网络模块,无注册表操作。样本存在文件创建函数、内存拷贝行为。winhex查看样本,在样本末尾处存在大量加密字符串,字符串经后续分析为解密密钥“by7mJSOkVDaWg*Ub”及三阶样本。

图 加密字符串


使用GetTickCount函数判断程序是否被调试。


图 判断程序是否被调试。


样本使用memset和memmove函数拷贝自身加密字符到新空间并利用自定义解密算法解密,获取三阶样本。通过该方式解密出三阶样本不会有驻留文件仅存于内存中。


图 解密三阶样本



表 基本信息

样本创建名为“Microsoft32”互斥体,通过解密函数解密字符串,获取kernel32.dll、WS2_32.dll、user32.dll、iphlpapi.dll相关函数。尝试向2个域名www.jinjinpig.co.kr、mail.namusoft.kr发送数据并发现有5种指令。


a)发现样本存在WS2_32.dll网络模块


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2022-6-28 09:12 被戴夫的小推车编辑 ,原因:
上传的附件:
收藏
免费 6
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//