LAZARUS APT应用歹意word文档进击MAC用户 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

LAZARUS APT应用歹意word文档进击MAC用户

申博_新闻事件 申博 124次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

上个月,Kaspersky研究人员宣布申报称Lazarus APT构造Lazarus进军macOS平台和加密泉币行业。Lazarus APT构造又称为Hidden Cobra,是来自朝鲜的APT构造,该构造临时对韩国、美国举行渗入进击,另外还对环球的金融机构举行进击,可谓环球金融机构的最大要挟。该构造最早的进击运动能够追溯到2007年。据外洋平安公司的观察显现,Lazarus构造与2014 年索尼影业遭黑客进击事宜,2016 年孟加拉国银行数据泄漏事宜,2017年美国国防承包商、美国能源局部及英国、韩国等比特币交易所被进击等事宜有关。

LAZARUS APT应用歹意word文档进击MAC用户

研究人员感兴趣的是一个适用于macOS和Windows体系的歹意word文档。该歹意捏造的office文档运用的是VBA宏,但对进击macOS平台的银行木马来讲是异常少见的。本文重要剖析Kaspersky write-up中没有提到的进击局部。

歹意文档剖析

下面就是Kaspersky发明的进击韩国用户的歹意文档:

LAZARUS APT应用歹意word文档进击MAC用户

但奇怪的是Kaspersky称该运动是从2018岁尾最先运动的,但研究人员发明该文档的竖立时候是4年前的2014年11月3日。该文档的内容是关于一家名为Han Seung的公司和法定代表人Jin Seok Kim。

LAZARUS APT应用歹意word文档进击MAC用户

研究人员搜刮发明有很多名为Han Seung的公司,但并没有名为Jin Seok Kim的公司成员。研究人员预测公司和法定代表人的名字都应当是捏造的。

研究人员用oletools剖析了文档中的VBA代码。从代码中能够看出,文档起首搜检了是不是运转在Mac平台上,然后是不是依据VBA版正本声明system和popen函数。

LAZARUS APT应用歹意word文档进击MAC用户

若是不在mac平台上,文档会界说含有ASCII码的144个分歧的数据数组,这些代码一同组成了完全的Powershell剧本。

LAZARUS APT应用歹意word文档进击MAC用户

重构的剧本片断以下:

LAZARUS APT应用歹意word文档进击MAC用户

这些都设置好后,代码会界说AutoOpen()子途径,以测试歹意软件在mac照样Windows机械上。

LAZARUS APT应用歹意word文档进击MAC用户

能够看出,mac版本经由过程system函数举行构建和调用来从以下URL下载payload到/tmp文件夹:

https://nzssdm.com/assets/mt.dat

该文件用chmod给给予了可实行权限,然后翻开。由于是用curl下载的,Gatekeeper和XProtect都不会发明。

Windows版本会用下面的powershell敕令来构建字符串:

powershell -ExecutionPolicy Bypass -file spath

Mac版本中,spath是随机定名的,文件名为13个字符,但增加了.ps1扩大,并生存在用户的temp目次中。

后门剖析

mt.dat payload文件是Mach-O 64-bit的可实行文件。符号表(symbol table)注解这是一款定制的后门而不是通用的应用套件。很多定名都是自描述的,好比CheckUSB和ReplyOtherShellCmd,但也有一些含有单词troy的要领,其功用并非立时明白。而Operation Troy是一款进击韩国用户的着名的歹意软件运动。

商用硬件Token设备软件实现中的Envelope漏洞分析

前言 我最近正在研究一个使用加密Token(USB加密狗)的不知名Windows软件,其中可执行文件本身经过某种形式的预处理,并被封装和加密,以阻止在没有加密狗的情况下使用。目前,该软件不再适用于Windows 10(可能是由于Envelope保护逻辑中的某些漏洞)。 实际上,该软件使用这些Envelope是为了防止加密狗代码被删除,如下所示: if(!dongle_present()){exit();} 即使被删除,也很容易被修复。 另外,使用这些Envelope还有作用。 1.隐藏硬编码的秘密; 2.隐藏

这看似是一个来自于C2服务器的敕令。静态剖析注解ReplyTroyInfo要领在泄漏信息的加密版本之前起首搜检了受害者计算机的hostname,然后收集收集相干的信息。

该二进制文件中只要14个字符串literal,注解歹意软件作者能够在实验绕过特定的检测划定规矩。

LAZARUS APT应用歹意word文档进击MAC用户

该文件实行后,研究人员发明了歹意软件实验衔接的3个分歧的C2服务器地点。每隔30秒,该顺序会实行curl_easy_perform要领来测试与其中一个硬编码的服务器竖立衔接。若是衔接失利了,该顺序会休眠60秒然后实验衔接列表中的下一个服务器。

LAZARUS APT应用歹意word文档进击MAC用户

研究人员在样本中发明的C2服务器地点有:

https://baseballcharlemagnelegardeur.com

https://www.tangowithcolette.com

https://towingoperations.com

研究人员用netcat测试了这些IP地点,注解一切服务器都是一般运用的。

LAZARUS APT应用歹意word文档进击MAC用户

然则研究人员运转歹意软件来实验竖立衔接都失利了。每一个服务器都拒绝了衔接要求,返回406毛病和http error before end of send毛病音讯。

LAZARUS APT应用歹意word文档进击MAC用户

停止现在,研究人员还没有肯定毛病发生的缘由。研究人员预测能够的缘由有机械语言、地位、援用变量不对等。

但研究人员从C2服务器获取了一个加密的文件,该歹意软件联络的地点是

https://www.tangowithcolette.com/pages/common.php

研究人员下载该文件发明它含有到另一个链接的援用:

LAZARUS APT应用歹意word文档进击MAC用户

_Incapsula_Resource… 剧本中只含有十六进制代码:

LAZARUS APT应用歹意word文档进击MAC用户

研究人员将十六进制翻译成ASCII码,看着好像是严峻殽杂的JS代码。歹意软件作者还在实验隐蔽其实在企图。

LAZARUS APT应用歹意word文档进击MAC用户

该剧本含有1400多行代码,功用包罗解码URL组件、取回、移除和替代cookie、操纵用户的浏览器会话。

研究人员之后会进一步剖析该组件。

总结

本文对Lazarus APT构造进击Windows和mac用户的歹意文档和后门举行了剖析。经由过程剖析,研究人员发起企业应当增强macOS装备的平安性珍爱,由于歹意软件不只进击Windows、Linux,还进击macOS装备。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明LAZARUS APT应用歹意word文档进击MAC用户
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址