Lazarus组织如此出名是在于2014年攻击了索尼影视娱乐公司的服务器,泄露了该公司的许多机密数据。 2017年底,研究人员发现该组织仍然活跃,应用一些恶意工具来攻击一些目标,这些工具包括能够擦除磁盘信息的恶意软件KillDisk。 本文分析一些Lazarus组织使用的工具集,包括KillDisk。 KillDisk是在被黑的设备上执行的磁盘擦除工具。 Lazarus组织使用的工具集很广泛,研究人员发现有一些子组织。 不像其他的网络犯罪组织,Lazarus工具的任何代码都没有泄露。 Laza
Lazarus组织如此出名是在于2014年攻击了索尼影视娱乐公司的服务器,泄露了该公司的许多机密数据。
2017年底,研究人员发现该组织仍然活跃,应用一些恶意工具来攻击一些目标,这些工具包括能够擦除磁盘信息的恶意软件KillDisk。
本文分析一些Lazarus组织使用的工具集,包括KillDisk。
KillDisk是在被黑的设备上执行的磁盘擦除工具。
Lazarus组织使用的工具集很广泛,研究人员发现有一些子组织。
不像其他的网络犯罪组织,Lazarus工具的任何代码都没有泄露。
Lazarus组织使用的一些工具集是来自GitHub,其他一些来自商业化软件。
本节会描述一些在美国中部在线赌场网络的服务器和终端上检测到的恶意工具。
研究人员有理由相信这些恶意软件与Lazarus组织相关,ESET检测到的Lazarus恶意软件有Win32/NukeSped和Win64/NukeSped。
几乎所有的工具都是Windows服务,所以管理员权限是必须的。
Win64/NukeSped.W是系统中安装的一项服务,是用于配置的应用。
最初的一项执行步骤包括栈中动态解析必须的DLL名:
同样地,上面Windows API的步骤名称也是动态构建的。
在这个特殊的样本中,是明文可见的;在过去的一些样本中,研究人员是以字符为单位在堆栈上进行base64编码,加密或解析的。
这都是Lazarus恶意软件的典型特征。
另一个Lazarus的特征就是后门,它会监听特定的端口,而该端口也不会被防火墙拦截。
在文件系统中创建了很多文件,监听的端口储存在文件%WINDOWS%\Temp\p中。
文件%WINDOWS%\Temp\perflog.evt含有一个要注入,执行和写入注册表的二进制文件的路径。
Win64/NukeSped.AB是在当前受害者系统中创建一个当前未登录的用户的进程的一个配置应用。
在本例中,以C:\Users\public\ps.exe的形式安装。
样本中有一些共同的特征,分别是同样的PE编译时间戳,相同的Rich Header链接数据,和部分的资源版本:
当PE时间戳和资源从Windows 7SP1的合法PREVHOST.EXE文件中窃取出来时,其中是没有链接数据的,原来的微软文件是通过Visual Studio 2008(9.0)编译和链接的。
随后的动态分析确认了被黑的在线赌场网络中的文件是与Polish和Mexican攻击中的session hijacker相关的。
这是一个接收许多switch的简单命令行工具。
该工具的作用是与其他进程(通过PID或者名字注入和杀死进程)、服务(中止或重新安装服务)和文件(drop/remove)一起工作。
具体的功能是与参数相关的。
KillDisk是ESET用来命名所有检测到的有擦除功能的恶意软件,比如对boot单元造成破坏,覆写和删除系统文件等。
虽然所有的KillDisk恶意软件含有相同的功能,但不同样本的代码相似性和相关性并不强。
在美国中部在线赌场的案例中,研究人员在其网络中检测到两个Win32/KillDisk.NBO的变种。
研究人员在企业超过100台主机中检测到了该恶意软件。
基于这些数据,加上检测到的Win32/KillDisk.NBO变种和目标网络中的其他Lazarus恶意软件,研究人员相信KillDisk恶意软件与Lazarus组织有关。
其中一个变种是由商业PE保护器VMProtect保护的,这会让解压变难。
攻击者可能并不会去购买licence,但是可能会使用网络上泄漏的licence。
然而用protectors在Lazarus组织也是常见的,在2017年2月的Polish和Mexican攻击事件中,他们就使用了Enigma Protector,一种VMProtect的老一点的版本。
这可能不是一个有信服力的线索,但是在ESET检查恶意软件样本的格式字符串时发现,只有Lazarus组织的样本中会有这样的结果。
研究人员得出结论,这些格式字符是与Lazarus组织相关的。
攻击者还使用了一个开源工具Mimikatz,该工具是用来窃取Windows凭证的。
Mimikatz会接受一个参数,也就是文件名来存储输出的文件。
如果没有接收到参数默认会输出到与Mimikatz相同目录的 ~Temp1212.tmp文件。
输出的文件含有当前登录用户的Windows凭证的哈希值。
Mimikatz也是APT组织和其他网络犯罪分子常用的工具。
上面提到的大多数工具都会在攻击的第一阶段由恶意释放器和加载器下载并安装在受害者系统中。
攻击者还是用Radmin 3和LogMeIn这样的远程访问工具来远程控制受害者设备。
这起攻击事件说明Lazarus组织的工具集在每次攻击中都会重新编译。
攻击本身是很复杂的,含有许多的步骤,以及数十个受保护的工具。
攻击者使用KillDisk主要的原因有两个,一是在监听活动之后覆盖自己的足迹,二是直接用于攻击活动。
同时,研究人员发现该攻击中企业网络有超过100台终端和服务器被感染恶意软件,说明攻击者在攻击前做了很多的准备工作。
圣安地列斯赌场不开门 侠盗圣安地列斯赌场在哪里 罪恶都市5没有赌场 gta圣安地列斯四龙赌场任务 gtasa赌场卡片 澳门赌场亲眼目睹养生食补麻将菠菜的做法 ————点击图片进入游戏——————菠菜含有丰富的营养,胡萝卜素,维生素C,钾环球博讯,磷环球博讯,铁等等营养素含量丰富,能够提供给人体多种营养物质 方法/步骤 1 新鲜菠菜一把洗净去蒂 2 除蒜以外的其他料放进碗中加水稀释芝麻酱 3 蒜切蒜末 4 稀释好的麻将加入蒜末拌匀,最好再少来点香醋 5 水开下菠菜焯水,焯好后过凉水,挤出菠菜...
小米游戏怎样找游戏 ————点击图片进入游戏——————闲暇时分没事做的时候,我们不妨在手机上玩玩小游戏,让自己放松放松。 不过,虽说现在手机游戏数不胜数,要想找到一款令自己称心如意的小游戏还真有点难度。 那么,怎样才能在小米游戏中慧眼识珠,迅速找到自己中意的游戏呢? 工具/原料 小米游戏 操作方法: 1 首先,将手机联上网,打开小米游戏。 2 这时,将会打...
网上国网如何设置用户头像 ————点击图片进入游戏——————网上国网是一款非常受欢迎的应用,那么,网上国网如何设置用户头像呢?下面就跟随步骤一起来学习一下吧! 工具/原料 RedmiNote8手机 MIUI12 网上国网APP 方法/步骤 1 第一,打开手机安装完成的“网上国网”APP。 2 第二,在软件右下角选择“我的”,进入个人信息页面。 3 第三,在...
网赌输了20万 熬不住了怎么走出来0 ————点击图片进入游戏——————不管你现在是负债也好,刚接触也好,还是处在补天之中。 你都应该规划好自己的未来环球博讯,我们首先不谈戒赌,因为戒赌并不是嘴上说说就能戒掉的。 黄少泽指出,内地会根据当地刑法规定执法有关法律,不需要澳门配合时不会通报;对于传有赴澳商务签注申请被拒,黄少泽指澳门当局手上未有资料,相信内地是...
投资如何识别风险点 ————点击图片进入游戏——————投资如何识别风险点 工具/原料 个人身份证信息 个人银行账号信息 个人电话信息 方法/步骤 1 第一步,辨别投资机构,投资资产管理公司,一般从他们的成立证件手续,成立的地址,注册资金等辨别好。 年三十至大年初三(24日至27日)四天环球博讯,访澳旅客逾19.45万人次,下跌69%。 2 第二步,分清自己...