雷鋒網(wǎng)編者按：2017 年 11 月 14 日，美國(guó)計(jì)算機(jī)安全應(yīng)急響應(yīng)小組（US-CERT）發(fā)布了“Hidden Cobra”團(tuán)伙（即Lazarus）常用工具 FALLCHILL、Volgmer 的分析報(bào)告，指出該團(tuán)伙具有朝鮮政府背景。微步在線發(fā)現(xiàn)，US-CERT 報(bào)告中描述的 FALLCHILL 與其發(fā)現(xiàn)該團(tuán)伙最新的后門(mén)程序功能特點(diǎn)高度一致。該文為微步在線投稿，雷鋒網(wǎng)在不影響原意的基礎(chǔ)上略有刪減。

概要

1.US-CERT 分析的 FALLCHILL 樣本為該團(tuán)伙2016年期間使用的早期版本，公布的 IOC 中共計(jì) 196 個(gè)IP地址，其中美國(guó)（44個(gè)）、印度（37個(gè)）、伊朗（26個(gè)）和中國(guó)（14個(gè)）的等國(guó)家占比較高。

2.微步在線近日捕獲了多份偽裝成金融相關(guān)行業(yè)招聘信息的惡意文檔，執(zhí)行后會(huì)釋放新版的 FALLCHILL 后門(mén)。該程序設(shè)計(jì)功能相對(duì)復(fù)雜，能夠根據(jù)攻擊者發(fā)送指令實(shí)現(xiàn)上傳系統(tǒng)信息、創(chuàng)建文件、進(jìn)程等操作，使得系統(tǒng)環(huán)境和功能操作完全在控制者的掌握之中，危害較大。

3.FALLCHILL 與 C&C 服務(wù)器的通信過(guò)程會(huì)包含失效的數(shù)字證書(shū)，涉及 Google、Apple、Yahoo!、Github以及Baidu、Lenovo等國(guó)內(nèi)外大型網(wǎng)站，以規(guī)避檢測(cè)。

4.近期針對(duì)韓國(guó)的一系列網(wǎng)絡(luò)攻擊活動(dòng)中，攻擊者使用了相似的手法和木馬工具，判斷同為 Lazarus團(tuán)伙所為。

5.微 Lazarus 仍在使用的 IP12 個(gè)，其中個(gè)別主機(jī)屬于我國(guó)主流云廠商。

6.Lazarus 團(tuán)伙除繼續(xù)針對(duì)韓國(guó)、美國(guó)開(kāi)展?jié)B透攻擊，已開(kāi)始將觸手伸向亞洲其他國(guó)家的金融行業(yè)，其主要使用入侵的合法網(wǎng)站服務(wù)器作為C&C（遠(yuǎn)程控制）服務(wù)器，且基礎(chǔ)設(shè)施和通信過(guò)程與中國(guó)存在較大聯(lián)系，對(duì)我國(guó)的潛在危害巨大。

詳情

2017 年 11 月 14 日，US-CERT 發(fā)布 Lazarus 團(tuán)伙 FALLCHILL、Volgmer 兩款木馬的分析報(bào)告，指出FALLCHILL（公開(kāi)的樣本編譯時(shí)間為2016年3月）會(huì)使用偽造的 TLS 協(xié)議與 C&C 通信，并收集受害者主機(jī)的操作系統(tǒng)版本、處理器、IP 和 MAC 等基礎(chǔ)信息，同時(shí)按照 C&C 指令執(zhí)行創(chuàng)建文件、刪除文件、創(chuàng)建進(jìn)程、關(guān)閉進(jìn)程等操作，與我們近期捕獲該組織惡意樣本的功能和特點(diǎn)基本一致。

微步在線最新捕獲該組織使用的惡意文檔名為JD.doc，語(yǔ)言編碼為韓語(yǔ)，最后的修改時(shí)間為2017年10月26日。 

打開(kāi)后會(huì)提示“該文檔由新版本創(chuàng)建，需點(diǎn)擊允許編輯，并點(diǎn)擊啟用內(nèi)容”，誘導(dǎo)用戶啟用惡意宏腳本。 

該腳本會(huì)打開(kāi)一份Juno公司（境外比特幣公司）招聘CFO的職位描述文檔，用于迷惑受害者，同時(shí)釋放名為“smss.exe”的FALLCHILL工具（編譯時(shí)間為2017年10月）。如下圖所示： 

此外，我們還捕獲了多份類(lèi)似的招聘文檔，主題包括面向亞洲地區(qū)招聘財(cái)務(wù)人員的職位要求（8月21日）和IBM公司在菲律賓招聘要求（8月6日）等，釋放的惡意樣本屬于較新版本的FALLCHILL。 

 樣本分析

微步在線對(duì)最新生成的 FALLCHILL 分析發(fā)現(xiàn)，此類(lèi)工具由誘餌文檔釋放并執(zhí)行，通常命名為系統(tǒng)進(jìn)程以混淆視聽(tīng)，具體行為如下：

1、 檢查并設(shè)置相關(guān)注冊(cè)表鍵值，其中，注冊(cè)表鍵值的內(nèi)容均通過(guò)對(duì)硬編碼的密文進(jìn)行動(dòng)態(tài)解密來(lái)獲得。如果存在這些鍵值，則說(shuō)明樣本已經(jīng)運(yùn)行，直接退出；若不存在，則在注冊(cè)表中寫(xiě)入相關(guān)鍵值，樣本將繼續(xù)執(zhí)行。 

2、 建立基于Select模型的SOCKET網(wǎng)絡(luò)通信，對(duì)FD_Set進(jìn)行初始化，完成Select模型的準(zhǔn)備工作。 

3、 在完成FD_Set的初始化后，樣本通過(guò)使用ioctlsocket函數(shù)，設(shè)置SOCKET為非阻塞模式，然后調(diào)用connect函數(shù)連接C&C服務(wù)器，開(kāi)啟虛電路通信。接著調(diào)用 select函數(shù)和_WSAFDIsSet函數(shù)來(lái)測(cè)試本機(jī)與C&C服務(wù)器之間的連通性，最后，使用ioctlsocket函數(shù)將SOCKET重置為阻塞模式。 

4、 構(gòu)造虛假的TLS通信（Fake TLS）。

樣本按照TLS通信協(xié)議，構(gòu)造一個(gè)虛假的TLS通信來(lái)迷惑分析人員，讓網(wǎng)絡(luò)流量看起來(lái)像是正常的TLS握手和通信的過(guò)程。

首先，發(fā)送5個(gè)字節(jié)的數(shù)據(jù)，其中，前三個(gè)字節(jié)“16 03 01”為固定字節(jié)，后兩個(gè)字節(jié)預(yù)示著本機(jī)要發(fā)送的下一個(gè)包的大小，如下圖中后兩個(gè)字節(jié)為00 A0，即下一個(gè)包的大小為0xA0（十進(jìn)制160）字節(jié)。

 

接著，發(fā)送下一個(gè)封包，其中包含一個(gè)知名網(wǎng)站的域名，如下圖中的“www.baidu.com”。在虛假的

TLS通信中，本機(jī)將向C&C服務(wù)器請(qǐng)求這個(gè)域名的證書(shū)，等待服務(wù)器返回。

 

域名將在以下列表中隨機(jī)選取（共20個(gè)）：

服務(wù)器將先返回5個(gè)字節(jié)的數(shù)據(jù)包，格式與本機(jī)發(fā)送的包格式相同，前3個(gè)字節(jié)固定，后2個(gè)字

節(jié)預(yù)示下一個(gè)包的大小。 

之后，發(fā)送請(qǐng)求域名的證書(shū)。 

把證書(shū)Dump出來(lái)，保存為cert文件，得到了baidu.cer，即C&C服務(wù)器返回的虛假百度證書(shū)。

該證書(shū)沒(méi)有足夠信息，無(wú)法進(jìn)行驗(yàn)證，且已于2015年6月10日過(guò)期，是一個(gè)明顯的無(wú)效證書(shū)。 

5、 建立后門(mén)，等待來(lái)自C&C服務(wù)器的控制碼

 

6、 根據(jù)C&C服務(wù)器發(fā)送的指令，執(zhí)行相應(yīng)的惡意行為，并將操作結(jié)果返回給C&C服務(wù)器。樣本中使用一個(gè)大的分支選擇（switch…case）結(jié)構(gòu)，從十六進(jìn)制的0x8001至0x8026，共38個(gè)不同的控制碼，分別進(jìn)行處理。 

控制碼對(duì)應(yīng)執(zhí)行的功能主要有上傳本機(jī)信息類(lèi)，如上傳當(dāng)前工作目錄，當(dāng)前進(jìn)程信息，當(dāng)前系統(tǒng)臨時(shí)目錄等，也有執(zhí)行特定功能類(lèi)，如創(chuàng)建文件、創(chuàng)建進(jìn)程、關(guān)閉進(jìn)程等，使得主機(jī)的當(dāng)前信息及相關(guān)行為幾乎完全在控制者的掌握之中。

在控制碼0x8003執(zhí)行的功能中，系統(tǒng)將創(chuàng)建并運(yùn)行一個(gè).bat批處理文件，該文件將對(duì)批處理文件本身、樣本文件以及中間生成的臨時(shí)文件執(zhí)行自刪除功能，清除操作痕跡。

關(guān)聯(lián)分析

1、韓國(guó)HWP軟件攻擊

9月14日，趨勢(shì)科技發(fā)布文章稱，有黑客利用韓國(guó)文字處理軟件Hangul Word Processor（HWP）的PostScript功能執(zhí)行惡意指令，誘餌文件的主題包括“比特幣”和“金融安全標(biāo)準(zhǔn)化”等，但未對(duì)攻擊細(xì)節(jié)進(jìn)行進(jìn)一步描述。

我們對(duì) FALLCHILL 類(lèi)樣本深入分析發(fā)現(xiàn)，自今年5月以來(lái)出現(xiàn)的多個(gè)HWP文檔會(huì)利用漏洞釋放并啟動(dòng)后門(mén)程序，對(duì)應(yīng)樣本同樣使用Fake TLS方式與C&C服務(wù)器的443端口進(jìn)行通信，仿冒的網(wǎng)站同樣包括www.microsoft.com、web.whatsapp.com、www.bing.com和www.paypal.com等，所有特征均與該工具完全一致，再加上攻擊者利用文檔傳播木馬、攻擊對(duì)象為韓國(guó)，以及部分C&C地址也與US-CERT報(bào)告中公布的IOC存在重疊，基本可以認(rèn)定幕后團(tuán)伙即Lazarus。

2、黑客基礎(chǔ)設(shè)施

據(jù) US-CERT 報(bào)告數(shù)據(jù)統(tǒng)計(jì)發(fā)現(xiàn)，該團(tuán)伙使用的 C&C 服務(wù)器共196個(gè)，其中美國(guó)44個(gè)、印度37個(gè)、伊朗26個(gè)、中國(guó)14個(gè)、阿根廷11個(gè)；我們威脅情報(bào)系統(tǒng)顯示，自9月以來(lái)至少有另外12臺(tái)服務(wù)器被Lazarus團(tuán)伙用于攻擊的主機(jī)活躍，主要涉及中國(guó)、美國(guó)、韓國(guó)等國(guó)家，而其中涉及我國(guó)的IP多存在合法網(wǎng)站（部分屬于國(guó)內(nèi)主流云廠商），推測(cè)應(yīng)該是被攻陷后作為C&C 使用。

我們認(rèn)為，Lazarus團(tuán)伙除長(zhǎng)期針對(duì)韓國(guó)開(kāi)展?jié)B透攻擊外，已開(kāi)始將觸手伸向其他亞洲國(guó)家的金融行業(yè)，由于其主要使用入侵的合法網(wǎng)站服務(wù)器作為C&C服務(wù)器，且基礎(chǔ)設(shè)施和通信過(guò)程與中國(guó)存在較大聯(lián)系，對(duì)我國(guó)的潛在危害極大。

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。