雷鋒網(wǎng)編者按：2017 年 11 月 14 日，美國計算機安全應(yīng)急響應(yīng)小組（US-CERT）發(fā)布了“Hidden Cobra”團伙（即Lazarus）常用工具 FALLCHILL、Volgmer 的分析報告，指出該團伙具有朝鮮政府背景。微步在線發(fā)現(xiàn)，US-CERT 報告中描述的 FALLCHILL 與其發(fā)現(xiàn)該團伙最新的后門程序功能特點高度一致。該文為微步在線投稿，雷鋒網(wǎng)在不影響原意的基礎(chǔ)上略有刪減。

概要

1.US-CERT 分析的 FALLCHILL 樣本為該團伙2016年期間使用的早期版本，公布的 IOC 中共計 196 個IP地址，其中美國（44個）、印度（37個）、伊朗（26個）和中國（14個）的等國家占比較高。

2.微步在線近日捕獲了多份偽裝成金融相關(guān)行業(yè)招聘信息的惡意文檔，執(zhí)行后會釋放新版的 FALLCHILL 后門。該程序設(shè)計功能相對復雜，能夠根據(jù)攻擊者發(fā)送指令實現(xiàn)上傳系統(tǒng)信息、創(chuàng)建文件、進程等操作，使得系統(tǒng)環(huán)境和功能操作完全在控制者的掌握之中，危害較大。

3.FALLCHILL 與 C&C 服務(wù)器的通信過程會包含失效的數(shù)字證書，涉及 Google、Apple、Yahoo!、Github以及Baidu、Lenovo等國內(nèi)外大型網(wǎng)站，以規(guī)避檢測。

4.近期針對韓國的一系列網(wǎng)絡(luò)攻擊活動中，攻擊者使用了相似的手法和木馬工具，判斷同為 Lazarus團伙所為。

5.微 Lazarus 仍在使用的 IP12 個，其中個別主機屬于我國主流云廠商。

6.Lazarus 團伙除繼續(xù)針對韓國、美國開展?jié)B透攻擊，已開始將觸手伸向亞洲其他國家的金融行業(yè)，其主要使用入侵的合法網(wǎng)站服務(wù)器作為C&C（遠程控制）服務(wù)器，且基礎(chǔ)設(shè)施和通信過程與中國存在較大聯(lián)系，對我國的潛在危害巨大。

詳情

2017 年 11 月 14 日，US-CERT 發(fā)布 Lazarus 團伙 FALLCHILL、Volgmer 兩款木馬的分析報告，指出FALLCHILL（公開的樣本編譯時間為2016年3月）會使用偽造的 TLS 協(xié)議與 C&C 通信，并收集受害者主機的操作系統(tǒng)版本、處理器、IP 和 MAC 等基礎(chǔ)信息，同時按照 C&C 指令執(zhí)行創(chuàng)建文件、刪除文件、創(chuàng)建進程、關(guān)閉進程等操作，與我們近期捕獲該組織惡意樣本的功能和特點基本一致。

微步在線最新捕獲該組織使用的惡意文檔名為JD.doc，語言編碼為韓語，最后的修改時間為2017年10月26日。 

打開后會提示“該文檔由新版本創(chuàng)建，需點擊允許編輯，并點擊啟用內(nèi)容”，誘導用戶啟用惡意宏腳本。 

該腳本會打開一份Juno公司（境外比特幣公司）招聘CFO的職位描述文檔，用于迷惑受害者，同時釋放名為“smss.exe”的FALLCHILL工具（編譯時間為2017年10月）。如下圖所示： 

此外，我們還捕獲了多份類似的招聘文檔，主題包括面向亞洲地區(qū)招聘財務(wù)人員的職位要求（8月21日）和IBM公司在菲律賓招聘要求（8月6日）等，釋放的惡意樣本屬于較新版本的FALLCHILL。 

 樣本分析

微步在線對最新生成的 FALLCHILL 分析發(fā)現(xiàn)，此類工具由誘餌文檔釋放并執(zhí)行，通常命名為系統(tǒng)進程以混淆視聽，具體行為如下：

1、 檢查并設(shè)置相關(guān)注冊表鍵值，其中，注冊表鍵值的內(nèi)容均通過對硬編碼的密文進行動態(tài)解密來獲得。如果存在這些鍵值，則說明樣本已經(jīng)運行，直接退出；若不存在，則在注冊表中寫入相關(guān)鍵值，樣本將繼續(xù)執(zhí)行。 

2、 建立基于Select模型的SOCKET網(wǎng)絡(luò)通信，對FD_Set進行初始化，完成Select模型的準備工作。 

3、 在完成FD_Set的初始化后，樣本通過使用ioctlsocket函數(shù)，設(shè)置SOCKET為非阻塞模式，然后調(diào)用connect函數(shù)連接C&C服務(wù)器，開啟虛電路通信。接著調(diào)用 select函數(shù)和_WSAFDIsSet函數(shù)來測試本機與C&C服務(wù)器之間的連通性，最后，使用ioctlsocket函數(shù)將SOCKET重置為阻塞模式。 

4、 構(gòu)造虛假的TLS通信（Fake TLS）。

樣本按照TLS通信協(xié)議，構(gòu)造一個虛假的TLS通信來迷惑分析人員，讓網(wǎng)絡(luò)流量看起來像是正常的TLS握手和通信的過程。

首先，發(fā)送5個字節(jié)的數(shù)據(jù)，其中，前三個字節(jié)“16 03 01”為固定字節(jié)，后兩個字節(jié)預示著本機要發(fā)送的下一個包的大小，如下圖中后兩個字節(jié)為00 A0，即下一個包的大小為0xA0（十進制160）字節(jié)。

 

接著，發(fā)送下一個封包，其中包含一個知名網(wǎng)站的域名，如下圖中的“www.baidu.com”。在虛假的

TLS通信中，本機將向C&C服務(wù)器請求這個域名的證書，等待服務(wù)器返回。

 

域名將在以下列表中隨機選取（共20個）：

服務(wù)器將先返回5個字節(jié)的數(shù)據(jù)包，格式與本機發(fā)送的包格式相同，前3個字節(jié)固定，后2個字

節(jié)預示下一個包的大小。 

之后，發(fā)送請求域名的證書。 

把證書Dump出來，保存為cert文件，得到了baidu.cer，即C&C服務(wù)器返回的虛假百度證書。

該證書沒有足夠信息，無法進行驗證，且已于2015年6月10日過期，是一個明顯的無效證書。 

5、 建立后門，等待來自C&C服務(wù)器的控制碼

 

6、 根據(jù)C&C服務(wù)器發(fā)送的指令，執(zhí)行相應(yīng)的惡意行為，并將操作結(jié)果返回給C&C服務(wù)器。樣本中使用一個大的分支選擇（switch…case）結(jié)構(gòu)，從十六進制的0x8001至0x8026，共38個不同的控制碼，分別進行處理。 

控制碼對應(yīng)執(zhí)行的功能主要有上傳本機信息類，如上傳當前工作目錄，當前進程信息，當前系統(tǒng)臨時目錄等，也有執(zhí)行特定功能類，如創(chuàng)建文件、創(chuàng)建進程、關(guān)閉進程等，使得主機的當前信息及相關(guān)行為幾乎完全在控制者的掌握之中。

在控制碼0x8003執(zhí)行的功能中，系統(tǒng)將創(chuàng)建并運行一個.bat批處理文件，該文件將對批處理文件本身、樣本文件以及中間生成的臨時文件執(zhí)行自刪除功能，清除操作痕跡。

關(guān)聯(lián)分析

1、韓國HWP軟件攻擊

9月14日，趨勢科技發(fā)布文章稱，有黑客利用韓國文字處理軟件Hangul Word Processor（HWP）的PostScript功能執(zhí)行惡意指令，誘餌文件的主題包括“比特幣”和“金融安全標準化”等，但未對攻擊細節(jié)進行進一步描述。

我們對 FALLCHILL 類樣本深入分析發(fā)現(xiàn)，自今年5月以來出現(xiàn)的多個HWP文檔會利用漏洞釋放并啟動后門程序，對應(yīng)樣本同樣使用Fake TLS方式與C&C服務(wù)器的443端口進行通信，仿冒的網(wǎng)站同樣包括www.microsoft.com、web.whatsapp.com、www.bing.com和www.paypal.com等，所有特征均與該工具完全一致，再加上攻擊者利用文檔傳播木馬、攻擊對象為韓國，以及部分C&C地址也與US-CERT報告中公布的IOC存在重疊，基本可以認定幕后團伙即Lazarus。

2、黑客基礎(chǔ)設(shè)施

據(jù) US-CERT 報告數(shù)據(jù)統(tǒng)計發(fā)現(xiàn)，該團伙使用的 C&C 服務(wù)器共196個，其中美國44個、印度37個、伊朗26個、中國14個、阿根廷11個；我們威脅情報系統(tǒng)顯示，自9月以來至少有另外12臺服務(wù)器被Lazarus團伙用于攻擊的主機活躍，主要涉及中國、美國、韓國等國家，而其中涉及我國的IP多存在合法網(wǎng)站（部分屬于國內(nèi)主流云廠商），推測應(yīng)該是被攻陷后作為C&C 使用。

我們認為，Lazarus團伙除長期針對韓國開展?jié)B透攻擊外，已開始將觸手伸向其他亞洲國家的金融行業(yè)，由于其主要使用入侵的合法網(wǎng)站服務(wù)器作為C&C服務(wù)器，且基礎(chǔ)設(shè)施和通信過程與中國存在較大聯(lián)系，對我國的潛在危害極大。

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。