朝鲜 APT 组织 HIDDEN COBRA 使用的远控工具 NukeSped 出现了新样本,分析人员对其进行了详细的分析与归因的判断。
介绍
美国政府将与朝鲜有关的攻击者称为 HIDDEN COBRA,而 FortiGuard 实验室一直对这些 APT 组织保持跟踪。上一篇文章介绍了 FALLCHILL RAT 的细节,最近又发现了该组织的新样本
样本概览
我们分析的 RAT 样本如下所示:
这些样本具有一定的相似性:
大多数是 32 位程序
字符串加密阻止分析
编译时间戳从 2017年5月4日10:40:47 到 2018年2月13日04:06:28
甚至包括重用函数:
资源部分经常可提供来源的线索,通过更详细地检查资源部分可以发现:
可以看出,每个资源都有与之关联的语言 ID,奇怪的是大多数样本的语言 ID 是 1042:
根据微软的文档,标志 1042(0x0412)代表语言为韩国:
功能
了解恶意软件可能对受害者系统造成的影响,最好的方法通常是检查系统调用的函数。最初看的时候,恶意软件似乎没有调用许多 API,导入表很短,没有导入很多常见的 DLL 和函数。直觉告诉我们可能会动态解析函数,很快我们就找到了 GetProcAddress 的调用,还加密了 API 的名字。这是设计用来阻碍静态分析的常用技术,但是不能使动态分析失效。因此,调试跟踪恶意软件就可以找到其加密的 API:
下面显示了一种特殊情况,函数名没有加密的情况下可以直接展开静态分析:
此特殊样本的哈希值为:b05aae59b3c1d024b19c88448811debef1eada2f51761a5c41e70da3db7615a9。
聪明的读者们可能已经注意到了,该样本中加载函数的顺序与其他样本非常相似:
在 IDA 中对应修改后可以清楚地看到该恶意软件使用的核心函数,如注册表(Advapi32.dll)、网络(ws2_32.dll)等。同时,为了持久化将自身插入注册表 Run 键中:
其他情况下,恶意软件会将自身安装为服务:
如上所示,这是隐藏 DLL 的原始文件名
$hell 中的 Ghosts
接下来查看 NukeSped 的核心远控功能,经过大量的逆向工程后找到了解码字符串的算法:
恶意软件使用基于异或的自定义加密,反过来解密远控命令的是 decodeCmd 函数:
与典型的 RAT 相同,监听远控指令然后执行命令做出响应,完整的 CFG 如下所示:
如上所示,典型的控制流程十分清楚。首先是解析命令与参数的代码逻辑,然后是庞大的 case 分支来处理不同的命令。针对不同的功能进行逆向工程后,发现了许多经典的 RAT 功能:
迭代文件夹中的文件
以其他用户身份创建进程
迭代进程与模块
终止进程
创建进程
写文件
读文件
连接到远程主机
移动文件
从互联网拉取并执行其他载荷
获取有关已安装磁盘信息,包括磁盘类型和可用容量
获取当前目录
切换到其他目录
从受感染的主机删除自身和与之相关的组件
归因
归因是一门未必精确的艺术,但是根据以下关键证据开始考虑:
加密字符串的模式,用于 API 加载的字符串的方式
主要功能和结构与 FALLCHILL 类似
NukeSped 的大多数样本都具有以下加密块,有趣的是大多也具有类似以下内容的加密块
与 HOPLIGHT 存在共同的文件名
NukeSped 大多数样本(70%)都是韩语的
目前为止收集到的所有证据都表明 NukeSped RAT 与朝鲜攻击组织 HIDDEN COBRA 存在一定关联
IOC
1a01b8a4c505db70f9e199337ce7f497b3dd42f25ad06487e29385580bca3676
8a1d57ee05d29a730864299376b830a7e127f089e500e148d96d0868b7c5b520
32ec329301aa4547b4ef4800159940feb950785f1ab68d85a14d363e0ff2bc11
73dcb7639c1f81d3f7c4931d32787bdf07bd98550888c4b29b1058b2d5a7ca33
084b21bc32ee19af98f85aee8204a148032ce7eabef668481b919195dd62b319
0608e411348905145a267a9beaf5cd3527f11f95c4afde4c45998f066f418571
b05aae59b3c1d024b19c88448811debef1eada2f51761a5c41e70da3db7615a9
c66ef8652e15b579b409170658c95d35cfd6231c7ce030b172692f911e7dcff8
f8f7720785f7e75bd6407ac2acd63f90ab6c2907d3619162dc41a8ffa40a5d03
fe43bc385b30796f5e2d94dfa720903c70e66bc91dfdcfb2f3986a1fea3fe8c5
119.18.230.253
218.255.24.226
*参考来源:Fortinet,FB 小编 Avenger 编译,转载请注明来自 FreeBuf.COM