欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

深入分析LAZARUS APT针对MAC用户使用的恶意word文档

来源:本站整理 作者:佚名 时间:2019-06-11 TAG: 我要投稿

就在上个月,卡巴斯基实验室的研究人员发现了一个针对macOS和Windows用户的恶意攻击活动,并将该活动命名为了“Lazarus APT”。据了解,此次攻击活动主要针对的是金融领域的用户,受影响最为严重的当属加密货币交易平台的用户了。Lazarus网络犯罪组织,又名Hidden Cobra,从2009年开始一直活跃至今,还有同学记得 日本索尼公司曾在2014年经历过一次严重的网络攻击吗?没错,那也是Lazarus干的。
在这篇文章中,我们将主要对Lazarus在攻击macOS和Windows系统时所使用的攻击逻辑以及恶意Word文档进行分析。

实际上,利用VBA宏来创建恶意Microsoft Office文档已经不算什么新鲜事了,尤其是针对银行机构的木马病毒。但我们很少能够见到 针对macOS的恶意Word文档,正因如此,我们才需要更加深入地了解Lazarus的攻击技术细节,而这些内容是卡巴斯基的安全报告中没有提及到的。
启用了宏功能的恶意Word文档
下面给出的是Lazarus针对韩国地区用户的一份恶意文档样本:

奇怪的是,卡巴斯基的研究人员发现,上述攻击活动大约是从2018年底才开始的,但是文档中标注的创建日期却是四年以前,也就是2014年11月3日。就文档内容来看,该文件声称是由一家名为““Han Seung”的公司及其公司代表“Jin Seok Kim”提供的。

我们在搜索引擎中找出了几家名叫“Han Seung”的公司,但这些公司都没有“Jin Seok Kim”这个员工。因此,我们认为要么恶意文档中公司名称是假的,或者代表名称是假的,要么就是全都是假的。
我们使用oletools来对恶意文档中的VBA代码进行了反汇编,从中我们可以看到,文档首先会测试恶意代码是否能够在macOS上运行,如果可以运行,它将会根据VBA的版本来声明系统函数和popen函数。

如果目标系统不是macOS,那么文档会定义144个不同的数据数组,其中包含了ASCII码,而这些ASCII码可以组成一份完整的PowerShell脚本。

重构之后的脚本代码段如下:

一切就绪之后,代码会定义AutoOpen()的子路径,并再次测试目标平台是否为macOS或Windows。

我们可以看到目标设备的macOS版本架构,代码会通过system函数来调用Payload下载功能(使用curl命令实现,下载目录为/tmp),URL地址如下:
https//nzssdm.com/assets/mt.dat
代码使用了chmod命令给Payload文件赋予了可执行权限,并运行了Payload。由于该文件是通过curl下载的,因此Gatekeeper和XProtect都无法检测到它。
Windows版本架构由一个包含了下列PowerShell命令的字符串组成:
powershell-ExecutionPolicy Bypass -file spath
其中的spath是随机命名的,文件名为13个随机字符,但此时会添加.ps1作为文件后缀,,并保存在目标用户的temp目录中。
macOS后门
mt.dat这个Payload文件是一个Mach-O 64位可执行文件,符号表中的数据表明,这是一个自定义后门。其中的部分变量从名字就可以猜测到对应的功能,比如说CheckUSB和ReplyOtherShellCmd等等。但是,那些包含了字符串“Troy”的函数其功能就没那么显而易见了。但有些同学可能知道,“Troy”是一个著名的恶意软件活动,主要针对的是韩国用户。

从这里大家可以看出,这些命令显然是从C2服务器发送过来的,静态分析结果也表明,ReplyTroyInfo方法首先会检测目标设备的主机名,然后进行网络信息收集,最后将收集到的数据进行加密后提取至远程服务器。
除此之外,攻击者还试图使用字符串规则匹配等方式来绕过某些遗留的反病毒机制。

执行恶意文件后,我们发现恶意软件会尝试与三个不同的C2服务器地址进行通信。每隔60秒,恶意软件就会执行curl_easy_perform方法来尝试与其中一个硬编码服务器地址建立连接。如果连接建立失败,进程会休眠60秒,并再次与下一台服务器尝试建立连接。

样本中的服务器地址列表如下:
https://baseballcharlemagnelegardeur.com
https://www.tangowithcolette.com
https://towingoperations.com

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载