安基網 首頁 資訊 安全報 查看內容

雪缘园赔率:黑客組織Lazarus最新動態:開始利用新型遠控木馬攻擊Linux主機

英超雪缘园 www.trual.com.cn 2019-12-31 16:44| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 360網絡安全研究院(360Netlab)于近日發文稱,他們在10月25日發現了一個可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812),并在隨后發現了它與朝鮮黑客組織“拉撒路”之間的關聯。進一步分析表明,該文件實際上是一款功能完善、行為隱蔽的??榛犢嗇韭?,且分為Windows和Linux兩個版本。其中,Lin ...

360網絡安全研究院(360Netlab)于近日發文稱,他們在10月25日發現了一個可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812),并在隨后發現了它與朝鮮黑客組織“拉撒路”之間的關聯。

進一步分析表明,該文件實際上是一款功能完善、行為隱蔽的??榛犢嗇韭?,且分為Windows和Linux兩個版本。其中,Linux版本包含有6個插件???,分別負責執行不同的任務:執行命令、文件管理、進程管理、測試網絡訪問、C2連接代理和網絡掃描。

根據文件名和硬編碼的字符串,360Netlab決定將此新型遠控木馬命名為“Dacls”(Win32.Dacls和Linux.Dacls),而這也是首次觀察到“拉撒路”組織將Linux主機列為攻擊目標。

“拉撒路”什么來頭?

拉撒路,由Lazarus音譯而來,也被稱為HIDDEN COBRA、GUARDIANS OF PEACE、ZINC或NICKEL ACADEMY,被認為是目前全球規模最大、最為活躍的黑客組織之一,且被指得到了朝鮮政府的支持。

據稱,該組織自2009年以來就一直處于活躍狀態,且與多起轟動一時的網絡攻擊事件有關,包括2014年索尼影業被黑事件、2016年孟加拉國銀行網絡攻擊事件,以及2017年WannaCry勒索軟件事件。


惡意文件托管服務器

通過尋線追蹤,360Netlab成功發現了一臺托管有Win32.Dacls和Linux.Dacls的服務器。除Dacls遠控木馬外,這臺服務器還托管有其他一些樣本,如開源程序Socat(命令行工具)以及Confluence CVE-2019-3396漏洞利用腳本。

Linux.Dacls樣本分析

如上所述,Linux.Dacls包含有6個插件???,分別負責執行不同的任務:執行命令、文件管理、進程管理、測試網絡訪問、C2連接代理和網絡掃描。

初始化行為

啟動后,Linux.Dacls會以daemon方式在后臺運行,并通過啟動參數“/pro”、Bot PID文件“/var/run/init.pid”和Bot進程名“/proc//cmdline”,來區分不同運行環境(可能是用于Bot程序升級)。

C2協議

Linux.Dacls和C2通信主要分為三個階段,并采用了TLS和RC4雙層加密算法,保障數據通信安全。

第一階段是建立TLS連接;第二階段是雙方協議認證過程(Malware Beaconing);第三階段是Bot發送RC4加密后的數據。

Bash插件

Bash插件主要支持兩個功能:一是接收C2服務器的下發的系統命令并執行;二是C2通過指令下發臨時C2,Bot然后連接到臨時C2并執行臨時C2下發的系統命令。

File插件

File插件主要功能是文件管理,除了支持對文件的讀/寫/刪除/查找操作,還可以從指定的服務器下載文件。

Process插件

Process插件的主要功能是進程管理,包括殺死指定進程、創建daemon進程、獲得當前進程的PID和PPID,以及獲取進程列表信息。

Test插件

Test插件的主要功能是通過連接C2指定的IP地址和端口,測試其網絡連通性。

Reverse P2P插件

Reverse P2P插件實際上是一種C2連接代理(Connection Proxy),它通過下發控制命令可以將指定的C2數據完整的轉發到指定IP端口。

LogSend插件

LogSend插件的主要功能有三個:一是測試連接Log服務器,二是隨機掃描全網8291端口并上報給Log服務器,三是執行耗時較長的系統命令并將控制臺輸出結果實時上報給Log服務器。

安全建議

360Netlab建議Confluence用戶應及時更新補丁,并可以根據Dacls遠控木馬所創建的進程、文件名以及TCP網絡連接特征來判斷自己的系統是否已經遭到感染,然后有針對性地清理相關進程和文件。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6771617135971009038/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

相關閱讀

最新評論

 最新
返回頂部
{ganrao}