安基网 首页 资讯 安全报 查看内容

黑客组织Lazarus最新动态:开始利用新型远控木马攻击Linux主机

2019-12-31 16:44| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 360网络安全研究院(360Netlab)于近日发文称,他们在10月25日发现了一个可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812),并在随后发现了它与朝鲜黑客组织“拉撒路”之间的关联。进一步分析表明,该文件实际上是一款功能完善、行为隐蔽的模块化远控木马,且分为Windows和Linux两个版本。其中,Lin ...

360网络安全研究院(360Netlab)于近日发文称,他们在10月25日发现了一个可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812),并在随后发现了它与朝鲜黑客组织“拉撒路”之间的关联。

进一步分析表明,该文件实际上是一款功能完善、行为隐蔽的模块化远控木马,且分为Windows和Linux两个版本。其中,Linux版本包含有6个插件模块,分别负责执行不同的任务:执行命令、文件管理、进程管理、测试网络访问、C2连接代理和网络扫描。

根据文件名和硬编码的字符串,360Netlab决定将此新型远控木马命名为“Dacls”(Win32.Dacls和Linux.Dacls),而这也是首次观察到“拉撒路”组织将Linux主机列为攻击目标。

“拉撒路”什么来头?

拉撒路,由Lazarus音译而来,也被称为HIDDEN COBRA、GUARDIANS OF PEACE、ZINC或NICKEL ACADEMY,被认为是目前全球规模最大、最为活跃的黑客组织之一,且被指得到了朝鲜政府的支持。

据称,该组织自2009年以来就一直处于活跃状态,且与多起轰动一时的网络攻击事件有关,包括2014年索尼影业被黑事件、2016年孟加拉国银行网络攻击事件,以及2017年WannaCry勒索软件事件。


恶意文件托管服务器

通过寻线追踪,360Netlab成功发现了一台托管有Win32.Dacls和Linux.Dacls的服务器。除Dacls远控木马外,这台服务器还托管有其他一些样本,如开源程序Socat(命令行工具)以及Confluence CVE-2019-3396漏洞利用脚本。

Linux.Dacls样本分析

如上所述,Linux.Dacls包含有6个插件模块,分别负责执行不同的任务:执行命令、文件管理、进程管理、测试网络访问、C2连接代理和网络扫描。

初始化行为

启动后,Linux.Dacls会以daemon方式在后台运行,并通过启动参数“/pro”、Bot PID文件“/var/run/init.pid”和Bot进程名“/proc//cmdline”,来区分不同运行环境(可能是用于Bot程序升级)。

C2协议

Linux.Dacls和C2通信主要分为三个阶段,并采用了TLS和RC4双层加密算法,保障数据通信安全。

第一阶段是建立TLS连接;第二阶段是双方协议认证过程(Malware Beaconing);第三阶段是Bot发送RC4加密后的数据。

Bash插件

Bash插件主要支持两个功能:一是接收C2服务器的下发的系统命令并执行;二是C2通过指令下发临时C2,Bot然后连接到临时C2并执行临时C2下发的系统命令。

File插件

File插件主要功能是文件管理,除了支持对文件的读/写/删除/查找操作,还可以从指定的服务器下载文件。

Process插件

Process插件的主要功能是进程管理,包括杀死指定进程、创建daemon进程、获得当前进程的PID和PPID,以及获取进程列表信息。

Test插件

Test插件的主要功能是通过连接C2指定的IP地址和端口,测试其网络连通性。

Reverse P2P插件

Reverse P2P插件实际上是一种C2连接代理(Connection Proxy),它通过下发控制命令可以将指定的C2数据完整的转发到指定IP端口。

LogSend插件

LogSend插件的主要功能有三个:一是测试连接Log服务器,二是随机扫描全网8291端口并上报给Log服务器,三是执行耗时较长的系统命令并将控制台输出结果实时上报给Log服务器。

安全建议

360Netlab建议Confluence用户应及时更新补丁,并可以根据Dacls远控木马所创建的进程、文件名以及TCP网络连接特征来判断自己的系统是否已经遭到感染,然后有针对性地清理相关进程和文件。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6771617135971009038/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

刚表态过的朋友 (1 人)

相关阅读

最新评论

 最新
返回顶部
上海11选5 众盈彩票APP 山东11选5 彩吧彩票计划群 568彩票计划群 福布斯彩票计划群 极速赛车计算方法 北京两步彩 88彩票计划群 永盛彩票计划群