Lazarus Group使用Dacls RAT攻击Linux平台
Contents
Lazarus Group使用Dacls RAT攻击Linux平台
背景介绍
2019年10月25号,360Netlab未知威胁检测系统发现一个可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812)。一开始,我们以为这是在我们发现的Unknown Botnet中比较平凡的一个,并且在那时候VirusTotal上有2款杀毒引擎能够识别。当我们关联分析它的相关样本特征和IoC时,我们发现这个案例跟Lazarus Group有关,并决定深入分析它。
目前,业界也从未公开过关于Lazarus Group针对Linux平台的攻击样本和案例。通过详细的分析,我们确定这是一款功能完善,行为隐蔽并适用于Windows和Linux平台的RAT程序,并且其幕后攻击者疑似Lazarus Group。
事实上,这款远程控制软件相关样本早在2019年5月份就已经出现,目前在VirusTotal上显示被26款杀毒软件厂商识别为泛型的恶意软件,但它还是不为人所知,我们也没有找到相关分析报告。所以,我们会详细披露它的一些技术特征,并根据它的文件名和硬编码字符串特征将它命名为Dacls。
Dacls 概览
Dacls是一款新型的远程控制软件,包括Windows和Linux版本并共用C2协议,我们将它们分别命名为Win32.Dacls和Linux.Dacls。它的功能模块化,C2协议使用TLS和RC4双层加密,配置文件使用AES加密并支持C2指令动态更新。其中Win32.Dacls的插件模块是通过远程URL动态加载,而Linux版本的插件是直接编译在Bot程序里。我们已经确认在Linux.Dacls中包含6个插件模块:执行命令,文件管理,进程管理,测试网络访问,C2连接代理,网络扫描。
如何关联上 Lazarus Group
⾸先,我们通过样本
80c0efb9e129f7f9b05a783df6959812中的硬编码字符串特征
c_2910.cls和
k_3872.cls,在VirusTotal上找到了5个样本,我们从这些样本代码和相同的C2指令码上可以确认它们是同⼀套RAT程序,并且分别适⽤于Windows和Linux平台。
其中⼀个Win32.Dacls样本
6de65fc57a4428ad7e262e980a7f6cc7,它的下载地址为
https://thevagabondsatchel.com/wp-content/uploads/2019/03/wm64.avi,在VirusTotal社区⽤户@raeezabdulla留⾔中将它标记为Lazarus Group,并引⽤了⼀篇报告《CES Themed Targeting from Lazarus》。然后,我们通过这个下载地址我们关联到另⼀个NukeSped样本
b578ccf307d55d3267f98349e20ecff1,它的下载地址为
http://thevagabondsatchel.com/wp-content/uploads/2019/09/public.avi。在2019年10⽉份,这个NukeSped样本
b578ccf307d55d3267f98349e20ecff1曾被推特⽤户@cyberwar_15标记为Lazarus Group。
另外,我们也在Google上搜到到很多Lazarus Group的分析报告和⼀些开源威胁情报数据,并指出
thevagabondsatchel.com曾被Lazarus Group⽤于存放样本。
所以,我们推测Dacls RAT的幕后攻击者是Lazarus Group。
Downloader服务器
我们在疑似被感染的下载服务器
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/上找到了一系列样本,其中包括Win32.Dacls和Linux.Dacls,开源程序Socat,以及Confluence CVE-2019-3396 Payload。所以,我们推测Lazarus Group曾经利用CVE-2019-3396 N-day漏洞传播Dacls Bot程序。
MD5 (check.vm) = a99b7ef095f44cf35453465c64f0c70c //Confluence CVE-2019-3396 Payload MD5 (hdata.dat) = 982bf527b9fe16205fea606d1beed7fa //Log Collector MD5 (ldata.dat) = 80c0efb9e129f7f9b05a783df6959812 //Linux Dacls Bot MD5 (mdata.dat) = 80c0efb9e129f7f9b05a783df6959812 //Linux Dacls Bot MD5 (r.vm) = a99b7ef095f44cf35453465c64f0c70c //Confluence CVE-2019-3396 Payload MD5 (rdata.dat) = bea49839390e4f1eb3cb38d0fcaf897e //Windows Dacls Bot MD5 (sdata.dat) = e883bf5fd22eb6237eb84d80bbcf2ac9 //Open-Source Socat
逆向分析
Log Collector样本分析
- MD5: 982bf527b9fe16205fea606d1beed7fa
ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, no section header
这个样本的功能很简单,它通过运行参数指定日志搜集接口然后收集目标主机信息。它会避开扫描一些指定的根目录和二级目录,并把检索到的文件路径写入 /tmp/hdv.log。
Avoid Scanning Root Directory /bin /boot /dev /etc /lib /lib32 /lib64 /lost+found /sbin /sys /tmp /proc /run Avoid Scanning Secondary Directory /usr/bin /usr/etc /usr/games /usr/include /usr/lib /usr/lib32 /usr/lib64 /usr/libexec /usr/sbin /usr/share /usr/src /usr/tmp /var/adm /var/cache /var/crash /var/db /var/empty /var/games /var/gopher /var/kerberos /var/lock /var/nis /var/preserve /var/run /var/yp
日志记录格式示例
deep name type size last date 0 / D 0 000000000000 1 bin D 0 201911290628 2 bash F …
背景介绍
2019年10月25号,360Netlab未知威胁检测系统发现一个可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812)。一开始,我们以为这是在我们发现的Unknown Botnet中比较平凡的一个,并且在那时候VirusTotal上有2款杀毒引擎能够识别。当我们关联分析它的相关样本特征和IoC时,我们发现这个案例跟Lazarus Group有关,并决定深入分析它。
目前,业界也从未公开过关于Lazarus Group针对Linux平台的攻击样本和案例。通过详细的分析,我们确定这是一款功能完善,行为隐蔽并适用于Windows和Linux平台的RAT程序,并且其幕后攻击者疑似Lazarus Group。
事实上,这款远程控制软件相关样本早在2019年5月份就已经出现,目前在VirusTotal上显示被26款杀毒软件厂商识别为泛型的恶意软件,但它还是不为人所知,我们也没有找到相关分析报告。所以,我们会详细披露它的一些技术特征,并根据它的文件名和硬编码字符串特征将它命名为Dacls。
Dacls 概览
Dacls是一款新型的远程控制软件,包括Windows和Linux版本并共用C2协议,我们将它们分别命名为Win32.Dacls和Linux.Dacls。它的功能模块化,C2协议使用TLS和RC4双层加密,配置文件使用AES加密并支持C2指令动态更新。其中Win32.Dacls的插件模块是通过远程URL动态加载,而Linux版本的插件是直接编译在Bot程序里。我们已经确认在Linux.Dacls中包含6个插件模块:执行命令,文件管理,进程管理,测试网络访问,C2连接代理,网络扫描。
如何关联上 Lazarus Group
⾸先,我们通过样本
80c0efb9e129f7f9b05a783df6959812中的硬编码字符串特征
c_2910.cls和
k_3872.cls,在VirusTotal上找到了5个样本,我们从这些样本代码和相同的C2指令码上可以确认它们是同⼀套RAT程序,并且分别适⽤于Windows和Linux平台。
其中⼀个Win32.Dacls样本
6de65fc57a4428ad7e262e980a7f6cc7,它的下载地址为
https://thevagabondsatchel.com/wp-content/uploads/2019/03/wm64.avi,在VirusTotal社区⽤户@raeezabdulla留⾔中将它标记为Lazarus Group,并引⽤了⼀篇报告《CES Themed Targeting from Lazarus》。然后,我们通过这个下载地址我们关联到另⼀个NukeSped样本
b578ccf307d55d3267f98349e20ecff1,它的下载地址为
http://thevagabondsatchel.com/wp-content/uploads/2019/09/public.avi。在2019年10⽉份,这个NukeSped样本
b578ccf307d55d3267f98349e20ecff1曾被推特⽤户@cyberwar_15标记为Lazarus Group。
另外,我们也在Google上搜到到很多Lazarus Group的分析报告和⼀些开源威胁情报数据,并指出
thevagabondsatchel.com曾被Lazarus Group⽤于存放样本。
所以,我们推测Dacls RAT的幕后攻击者是Lazarus Group。
Downloader服务器
我们在疑似被感染的下载服务器
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/上找到了一系列样本,其中包括Win32.Dacls和Linux.Dacls,开源程序Socat,以及Confluence CVE-2019-3396 Payload。所以,我们推测Lazarus Group曾经利用CVE-2019-3396 N-day漏洞传播Dacls Bot程序。
MD5 (check.vm) = a99b7ef095f44cf35453465c64f0c70c //Confluence CVE-2019-3396 Payload MD5 (hdata.dat) = 982bf527b9fe16205fea606d1beed7fa //Log Collector MD5 (ldata.dat) = 80c0efb9e129f7f9b05a783df6959812 //Linux Dacls Bot MD5 (mdata.dat) = 80c0efb9e129f7f9b05a783df6959812 //Linux Dacls Bot MD5 (r.vm) = a99b7ef095f44cf35453465c64f0c70c //Confluence CVE-2019-3396 Payload MD5 (rdata.dat) = bea49839390e4f1eb3cb38d0fcaf897e //Windows Dacls Bot MD5 (sdata.dat) = e883bf5fd22eb6237eb84d80bbcf2ac9 //Open-Source Socat
逆向分析
Log Collector样本分析
- MD5: 982bf527b9fe16205fea606d1beed7fa
ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, no section header
这个样本的功能很简单,它通过运行参数指定日志搜集接口然后收集目标主机信息。它会避开扫描一些指定的根目录和二级目录,并把检索到的文件路径写入 /tmp/hdv.log。
Avoid Scanning Root Directory /bin /boot /dev /etc /lib /lib32 /lib64 /lost+found /sbin /sys /tmp /proc /run Avoid Scanning Secondary Directory /usr/bin /usr/etc /usr/games /usr/include /usr/lib /usr/lib32 /usr/lib64 /usr/libexec /usr/sbin /usr/share /usr/src /usr/tmp /var/adm /var/cache /var/crash /var/db /var/empty /var/games /var/gopher /var/kerberos /var/lock /var/nis /var/preserve /var/run /var/yp
日志记录格式示例
deep name type size last date 0 / D 0 000000000000 1 bin D 0 201911290628 2 bash F …
IoC
107.172.197.175
172.93.201.219
192.210.213.178
198.180.198.6
209.90.234.34
23.227.196.116
23.227.199.53
23.254.119.12
23.81.246.179
37.72.175.179
64.188.19.117
6de65fc57a4428ad7e262e980a7f6cc7
74.121.190.121
80c0efb9e129f7f9b05a783df6959812
8910bdaaa6d3d40e9f60523d3a34f914
982bf527b9fe16205fea606d1beed7fa
a99b7ef095f44cf35453465c64f0c70c
b578ccf307d55d3267f98349e20ecff1
bea49839390e4f1eb3cb38d0fcaf897e
cef99063e85af8b065de0ffa9d26cb03
e14724498374cb9b80a77b7bfeb1d1bd342ee139
e883bf5fd22eb6237eb84d80bbcf2ac9
http://thevagabondsatchel.com/wp-content/uploads/2019/09/public.avi
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/check.vm
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/hdata.dat
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/ldata.dat
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/mdata.dat
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/r.vm
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/rdata.dat
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/sdata.dat
https://thevagabondsatchel.com/wp-content/uploads/2019/03/wm64.avi
172.93.201.219
192.210.213.178
198.180.198.6
209.90.234.34
23.227.196.116
23.227.199.53
23.254.119.12
23.81.246.179
37.72.175.179
64.188.19.117
6de65fc57a4428ad7e262e980a7f6cc7
74.121.190.121
80c0efb9e129f7f9b05a783df6959812
8910bdaaa6d3d40e9f60523d3a34f914
982bf527b9fe16205fea606d1beed7fa
a99b7ef095f44cf35453465c64f0c70c
b578ccf307d55d3267f98349e20ecff1
bea49839390e4f1eb3cb38d0fcaf897e
cef99063e85af8b065de0ffa9d26cb03
e14724498374cb9b80a77b7bfeb1d1bd342ee139
e883bf5fd22eb6237eb84d80bbcf2ac9
http://thevagabondsatchel.com/wp-content/uploads/2019/09/public.avi
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/check.vm
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/hdata.dat
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/ldata.dat
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/mdata.dat
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/r.vm
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/rdata.dat
http://www.areac-agr.com/cms/wp-content/uploads/2015/12/sdata.dat
https://thevagabondsatchel.com/wp-content/uploads/2019/03/wm64.avi