分你所享、信息共享、轻松分享
来自民间的思想 | 送人玫瑰,手有余香。

Lazarus组织攻击美中部在线赌场时所使用的工具集分析

Lazarus组织如此出名是在于2014年攻击了索尼影视娱乐公司的服务器,泄露了该公司的许多机密数据。2017年底,研究人员发现该组织仍然活跃,应用一些恶意工具来攻击一些目标,这些工具包括能够擦除磁盘信息的恶意软件KillDisk。

本文分析一些Lazarus组织使用的工具集,包括KillDisk。KillDisk是在被黑的设备上执行的磁盘擦除工具。

Lazarus1-768x537.png

Lazarus工具集

Lazarus组织使用的工具集很广泛,研究人员发现有一些子组织。不像其他的网络犯罪组织,Lazarus工具的任何代码都没有泄露。Lazarus组织使用的一些工具集是来自GitHub,其他一些来自商业化软件。

Casino攻击中的Lazarus工具

本节会描述一些在美国中部在线赌场网络的服务器和终端上检测到的恶意工具。研究人员有理由相信这些恶意软件与Lazarus组织相关,ESET检测到的Lazarus恶意软件有Win32/NukeSped和Win64/NukeSped。几乎所有的工具都是Windows服务,所以管理员权限是必须的。

TCP后门

Win64/NukeSped.W是系统中安装的一项服务,是用于配置的应用。最初的一项执行步骤包括栈中动态解析必须的DLL名:

1.png

同样地,上面Windows API的步骤名称也是动态构建的。在这个特殊的样本中,是明文可见的;在过去的一些样本中,研究人员是以字符为单位在堆栈上进行base64编码,加密或解析的。

2.png

这都是Lazarus恶意软件的典型特征。另一个Lazarus的特征就是后门,它会监听特定的端口,而该端口也不会被防火墙拦截。