freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

深入分析NukeSped RAT
2020-06-11 15:00:59

朝鲜 APT 组织 HIDDEN COBRA 使用的远控工具 NukeSped 出现了新样本,分析人员对其进行了详细的分析与归因的判断。

介绍

美国政府将与朝鲜有关的攻击者称为 HIDDEN COBRA,而 FortiGuard 实验室一直对这些 APT 组织保持跟踪。上一篇文章介绍了 FALLCHILL RAT 的细节,最近又发现了该组织的新样本

样本概览

我们分析的 RAT 样本如下所示:

1.png

这些样本具有一定的相似性:

大多数是 32 位程序

字符串加密阻止分析

编译时间戳从 2017年5月4日10:40:47 到 2018年2月13日04:06:28

甚至包括重用函数:

2.png

资源部分经常可提供来源的线索,通过更详细地检查资源部分可以发现:

3.png

可以看出,每个资源都有与之关联的语言 ID,奇怪的是大多数样本的语言 ID 是 1042:

4.png

根据微软的文档,标志 1042(0x0412)代表语言为韩国:

5.png

功能

了解恶意软件可能对受害者系统造成的影响,最好的方法通常是检查系统调用的函数。最初看的时候,恶意软件似乎没有调用许多 API,导入表很短,没有导入很多常见的 DLL 和函数。直觉告诉我们可能会动态解析函数,很快我们就找到了 GetProcAddress 的调用,还加密了 API 的名字。这是设计用来阻碍静态分析的常用技术,但是不能使动态分析失效。因此,调试跟踪恶意软件就可以找到其加密的 API:

6.png

下面显示了一种特殊情况,函数名没有加密的情况下可以直接展开静态分析:

7.png

此特殊样本的哈希值为:b05aae59b3c1d024b19c88448811debef1eada2f51761a5c41e70da3db7615a9。

聪明的读者们可能已经注意到了,该样本中加载函数的顺序与其他样本非常相似:

8.png

在 IDA 中对应修改后可以清楚地看到该恶意软件使用的核心函数,如注册表(Advapi32.dll)、网络(ws2_32.dll)等。同时,为了持久化将自身插入注册表 Run 键中:

9.png

其他情况下,恶意软件会将自身安装为服务:

10.png

如上所示,这是隐藏 DLL 的原始文件名

$hell 中的 Ghosts

接下来查看 NukeSped 的核心远控功能,经过大量的逆向工程后找到了解码字符串的算法:

11.png

恶意软件使用基于异或的自定义加密,反过来解密远控命令的是 decodeCmd 函数:

12.png

13.png

与典型的 RAT 相同,监听远控指令然后执行命令做出响应,完整的 CFG 如下所示:

14.png

如上所示,典型的控制流程十分清楚。首先是解析命令与参数的代码逻辑,然后是庞大的 case 分支来处理不同的命令。针对不同的功能进行逆向工程后,发现了许多经典的 RAT 功能:

迭代文件夹中的文件

以其他用户身份创建进程

迭代进程与模块

终止进程

创建进程

写文件

读文件

连接到远程主机

移动文件

从互联网拉取并执行其他载荷

获取有关已安装磁盘信息,包括磁盘类型和可用容量

获取当前目录

切换到其他目录

从受感染的主机删除自身和与之相关的组件

归因

归因是一门未必精确的艺术,但是根据以下关键证据开始考虑:

加密字符串的模式,用于 API 加载的字符串的方式

主要功能和结构与 FALLCHILL 类似

15.pngNukeSped 的大多数样本都具有以下加密块,有趣的是大多也具有类似以下内容的加密块

16.png与 HOPLIGHT 存在共同的文件名

17.png


18.pngNukeSped 大多数样本(70%)都是韩语的

目前为止收集到的所有证据都表明 NukeSped RAT 与朝鲜攻击组织 HIDDEN COBRA 存在一定关联

IOC

1a01b8a4c505db70f9e199337ce7f497b3dd42f25ad06487e29385580bca3676

8a1d57ee05d29a730864299376b830a7e127f089e500e148d96d0868b7c5b520

32ec329301aa4547b4ef4800159940feb950785f1ab68d85a14d363e0ff2bc11

73dcb7639c1f81d3f7c4931d32787bdf07bd98550888c4b29b1058b2d5a7ca33

084b21bc32ee19af98f85aee8204a148032ce7eabef668481b919195dd62b319

0608e411348905145a267a9beaf5cd3527f11f95c4afde4c45998f066f418571

b05aae59b3c1d024b19c88448811debef1eada2f51761a5c41e70da3db7615a9

c66ef8652e15b579b409170658c95d35cfd6231c7ce030b172692f911e7dcff8

f8f7720785f7e75bd6407ac2acd63f90ab6c2907d3619162dc41a8ffa40a5d03

fe43bc385b30796f5e2d94dfa720903c70e66bc91dfdcfb2f3986a1fea3fe8c5

119.18.230.253

218.255.24.226

*参考来源:Fortinet,FB 小编 Avenger 编译,转载请注明来自 FreeBuf.COM

# RAT # NukeSped # 分析与归因
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者