朝鲜 Lazarus 团伙黑客工具分析

雷锋网 (公众号：雷锋网) 编者按：2017 年 11 月 14 日，美国计算机安全应急响应小组（US-CERT）发布了“Hidden Cobra”团伙（即Lazarus）常用工具 FALLCHILL、Volgmer 的分析报告，指出该团伙具有朝鲜政府背景。微步在线发现，US-CERT 报告中描述的 FALLCHILL 与其发现该团伙最新的后门程序功能特点高度一致。该文为微步在线投稿，雷锋网在不影响原意的基础上略有删减。

概要

1.US-CERT 分析的 FALLCHILL 样本为该团伙2016年期间使用的早期版本，公布的 IOC 中共计 196 个IP地址，其中美国（44个）、印度（37个）、伊朗（26个）和中国（14个）的等国家占比较高。

2.微步在线近日捕获了多份伪装成金融相关行业招聘信息的恶意文档，执行后会释放新版的 FALLCHILL 后门。该程序设计功能相对复杂，能够根据攻击者发送指令实现上传系统信息、创建文件、进程等操作，使得系统环境和功能操作完全在控制者的掌握之中，危害较大。

3.FALLCHILL 与 C&C 服务器的通信过程会包含失效的数字证书，涉及 Google、Apple、Yahoo!、Github以及Baidu、Lenovo等国内外大型网站，以规避检测。

4.近期针对韩国的一系列网络攻击活动中，攻击者使用了相似的手法和木马工具，判断同为 Lazarus团伙所为。

5.微 Lazarus 仍在使用的 IP12 个，其中个别主机属于我国主流云厂商。

6.Lazarus 团伙除继续针对韩国、美国开展渗透攻击，已开始将触手伸向亚洲其他国家的金融行业，其主要使用入侵的合法网站服务器作为C&C（远程控制）服务器，且基础设施和通信过程与中国存在较大联系，对我国的潜在危害巨大。

详情

2017 年 11 月 14 日，US-CERT 发布 Lazarus 团伙 FALLCHILL、Volgmer 两款木马的分析报告，指出FALLCHILL（公开的样本编译时间为2016年3月）会使用伪造的 TLS 协议与 C&C 通信，并收集受害者主机的操作系统版本、处理器、IP 和 MAC 等基础信息，同时按照 C&C 指令执行创建文件、删除文件、创建进程、关闭进程等操作，与我们近期捕获该组织恶意样本的功能和特点基本一致。

微步在线最新捕获该组织使用的恶意文档名为JD.doc，语言编码为韩语，最后的修改时间为2017年10月26日。 

打开后会提示“该文档由新版本创建，需点击允许编辑，并点击启用内容”，诱导用户启用恶意宏脚本。  

该脚本会打开一份Juno公司（境外比特币公司）招聘CFO的职位描述文档，用于迷惑受害者，同时释放名为“smss.exe”的FALLCHILL工具（编译时间为2017年10月）。如下图所示：  

此外，我们还捕获了多份类似的招聘文档，主题包括面向亚洲地区招聘财务人员的职位要求（8月21日）和IBM公司在菲律宾招聘要求（8月6日）等，释放的恶意样本属于较新版本的FALLCHILL。  

  样本分析

微步在线对最新生成的 FALLCHILL 分析发现，此类工具由诱饵文档释放并执行，通常命名为系统进程以混淆视听，具体行为如下：

1、 检查并设置相关注册表键值，其中，注册表键值的内容均通过对硬编码的密文进行动态解密来获得。如果存在这些键值，则说明样本已经运行，直接退出；若不存在，则在注册表中写入相关键值，样本将继续执行。  

2、 建立基于Select模型的SOCKET网络通信，对FD_Set进行初始化，完成Select模型的准备工作。  

3、 在完成FD_Set的初始化后，样本通过使用ioctlsocket函数，设置SOCKET为非阻塞模式，然后调用connect函数连接C&C服务器，开启虚电路通信。接着调用 select函数和_WSAFDIsSet函数来测试本机与C&C服务器之间的连通性，最后，使用ioctlsocket函数将SOCKET重置为阻塞模式。  

4、 构造虚假的TLS通信（Fake TLS）。

样本按照TLS通信协议，构造一个虚假的TLS通信来迷惑分析人员，让网络流量看起来像是正常的TLS握手和通信的过程。

首先，发送5个字节的数据，其中，前三个字节“16 03 01”为固定字节，后两个字节预示着本机要发送的下一个包的大小，如下图中后两个字节为00 A0，即下一个包的大小为0xA0（十进制160）字节。

 

接着，发送下一个封包，其中包含一个知名网站的域名，如下图中的“www.baidu.com”。在虚假的

TLS通信中，本机将向C&C服务器请求这个域名的证书，等待服务器返回。

 

域名将在以下列表中随机选取（共20个）：

服务器将先返回5个字节的数据包，格式与本机发送的包格式相同，前3个字节固定，后2个字

节预示下一个包的大小。  

之后，发送请求域名的证书。  

把证书Dump出来，保存为cert文件，得到了baidu.cer，即C&C服务器返回的虚假百度证书。

该证书没有足够信息，无法进行验证，且已于2015年6月10日过期，是一个明显的无效证书。  

5、 建立后门，等待来自C&C服务器的控制码

 

6、 根据C&C服务器发送的指令，执行相应的恶意行为，并将操作结果返回给C&C服务器。样本中使用一个大的分支选择（switch…case）结构，从十六进制的0x8001至0x8026，共38个不同的控制码，分别进行处理。  

控制码对应执行的功能主要有上传本机信息类，如上传当前工作目录，当前进程信息，当前系统临时目录等，也有执行特定功能类，如创建文件、创建进程、关闭进程等，使得主机的当前信息及相关行为几乎完全在控制者的掌握之中。

在控制码0x8003执行的功能中，系统将创建并运行一个.bat批处理文件，该文件将对批处理文件本身、样本文件以及中间生成的临时文件执行自删除功能，清除操作痕迹。

关联分析

1、韩国HWP软件攻击

9月14日，趋势科技发布文章称，有黑客利用韩国文字处理软件Hangul Word Processor（HWP）的PostScript功能执行恶意指令，诱饵文件的主题包括“比特币”和“金融安全标准化”等，但未对攻击细节进行进一步描述。

我们对 FALLCHILL 类样本深入分析发现，自今年5月以来出现的多个HWP文档会利用漏洞释放并启动后门程序，对应样本同样使用Fake TLS方式与C&C服务器的443端口进行通信，仿冒的网站同样包括www.microsoft.com、web.whatsapp.com、www.bing.com和www.paypal.com等，所有特征均与该工具完全一致，再加上攻击者利用文档传播木马、攻击对象为韩国，以及部分C&C地址也与US-CERT报告中公布的IOC存在重叠，基本可以认定幕后团伙即Lazarus。

2、黑客基础设施

据 US-CERT 报告数据统计发现，该团伙使用的 C&C 服务器共196个，其中美国44个、印度37个、伊朗26个、中国14个、阿根廷11个；我们威胁情报系统显示，自9月以来至少有另外12台服务器被Lazarus团伙用于攻击的主机活跃，主要涉及中国、美国、韩国等国家，而其中涉及我国的IP多存在合法网站（部分属于国内主流云厂商），推测应该是被攻陷后作为C&C 使用。

我们认为， Lazarus团伙除长期针对韩国开展渗透攻击外，已开始将触手伸向其他亚洲国家的金融行业，由于其主要使用入侵的合法网站服务器作为C&C服务器，且基础设施和通信过程与中国存在较大联系，对我国的潜在危害极大。

雷锋网特约稿件，未经授权禁止转载。详情见。