追溯朝鲜APT组织Lazarus的攻击历程-45.113.214.1江苏扬州BGP高防、棋牌游戏APP服务器

 唐涛   2019-12-03 11:54   93 人阅读  0 条评论

追溯朝鲜APT组织Lazarus的攻击历程-45.113.214.1江苏扬州BGP高防、棋牌游戏APP服务器

测试IP:45.113.214.1,了解更多IP服务器情况,联系QQ:3007425280(唐经理),大客户专线:15217267172,期待与您的合作!

近期,北朝鲜声名狼藉的APT组织Lazarus又刚开始活跃性起來,起先入侵印尼核电厂,造成其应急关掉一座反应堆,随后又向日本、西班牙等国推送很多垂钓电子邮件开展攻击,再加今年初的虚拟货币交易中心入侵恶性事件,Lazarus2019年可以说是很“增产”了。由于在我国也曾在Lazarus的攻击范围内,下边就来掌握下Lazarus组织的攻击技巧,及其学习培训怎样进行跟踪。

APT组织简述

Lazarus别称APT38、Guardians of Peace,是归属于北朝鲜的一个APT组织。据一位叛逃到日本的北朝鲜电子信息科学专家教授表露,该组织的组员关键来自北朝鲜RGB国外情报机构的Unit 180军队,关键承担以得到外汇交易为目地的攻击。

Lazarus组织自2009年就早已刚开始有主题活动,但是初期主要用于英国、日本开展政冶攻击,事后攻击总体目标逐渐扩张到印尼、泰国、柬埔寨、孟加拉国等亚洲地区及欧洲各国。

殊不知,Lazarus真实进入人们眼前的实际上是2014年的索尼影业入侵恶性事件,2014年,索尼影业在Youtube上先发了影片《刺杀金正恩》的片花,造成了朝鲜人民强烈不满,只是10天以后,Lazarus就入侵了索尼影业,泄漏了很多的还未发售的影片资料,及其管理层间的密秘电子邮件和职工的隐私保护信息,害得sony影视文化企业迫不得已公布撤销了该影片的发售和播映方案。

自此次恶性事件以后,Lazarus慢慢演变变成一个国际性的网络黑客组织,依次电影导演了入侵孟加拉国中央银行账户、应用WannaCry大范畴敲诈勒索、攻击5大虚拟货币交易中心、毁坏印尼KNPP核电厂的重特大安全事故。安全性界生产商觉得,Lazarus的危害早已不是一般APT组织所能比。

攻击组件演化

2013 — DarkSeoul

Lazarus初期的攻击组件,以DarkSeoul为意味着的DDoS恶意程序主导,攻击目标为日本的新闻媒体、金融业、基础设施建设制造行业。

2014 — Destover

在索尼影业入侵恶性事件中,攻击者应用了一系列的攻击组件开展信息盗取、服务器擦掉,在其中,有一个MBR擦掉组件(以下图)Destover的一部分编码与以前Lazarus采用的攻击组件有很多重合的地区,也根据此,安全性生产商明确该次攻击样本来源于于Lazarus之手。

2016 — Alreay

在偷盗孟加拉国中央银行的行動中,Lazarus根据Alreay攻击组件伪造SWIFT手机软件,促使网络黑客可以实际操作银行账户随意开展转帐,进而盗取了8100万美金。

2017 — WannaCry

在最开始版本号的WannaCry病毒感染中,安全性生产商发觉了在其中存有着Lazarus应用过的编码,进而分辨该病毒感染是由Lazarus制做的。该关键点被发布后,事后版本号的WannaCry也将这一段编码除去。

2019 — Worldbit-bot

Worldbit-bot根据开源系统虚拟货币行情软件Qt Bitcoin Trader开展伪造,盗取帐户比较敏感信息。

2019 — Dtrack

Dtrack是Lazarus用于攻击印尼核电厂所应用的RAT,该攻击组件与ATMDtrack十分相似,后面一种曾被用于入侵某印尼金融机构。该RAT会装包搜集服务器比较敏感信息并发送。

APT跟踪

对APT组织开展跟踪必须一定的累积,只能了解了该组织的常见攻击技巧(TTPs),才可以在新式的攻击上将其识别出去。在其中,根据样本同用代码段开展关系是最高效率的方法,这也显出了应用yara标准开展样本剖析的益处。

最先,人们必须从现有的样本中挑选出同样的特征码,能够应用Bindiff来较为现有样本类似的编码精彩片段,以下:寻找相似性较高且并不是系统软件API的涵数。

随后优先选择选择Blocks数较多、配对命令数较多的涵数。

能够重中之重选择一些加密技术编码做为特征码,那样较为不容易乱报。此外,还可以应用一些自动化技术获取yara标准的专用工具能够应用,例如yargen:https://github.com/Neo23x0/yarGen。

以下,是获取出去的wannacry的特征码,能够在VT上开展关系,来跟踪Lazarus的类似攻击组件。

在VT输入框中,键入:content:”{51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75 04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01 46 56 E8}”,就能挑选出全部具备这一编码精彩片段的样本,直至2019年7月,都也有有关的样本活跃性。

开启详尽信息,发觉它是Lazarus用以攻击孟加拉国的alreay攻击组件,那麼也就表明,WannaCry和Alreay的确有同用的编码精彩片段,根据这类方法,就能够关系出Lazarus所应用的攻击组件。

将yara标准加上到hunting中,一旦VT捕捉到新的样本合乎那条标准,就会马上通告人们。

追溯朝鲜APT组织Lazarus的攻击历程-45.113.214.1江苏扬州BGP高防、棋牌游戏APP服务器 第1张

本文地址:https://bbs.rhidc.com.cn/?id=124
版权声明:本文为原创文章,版权归 tangtao 所有,欢迎分享本文,转载请保留出处!

 发表评论


表情

还没有留言,还不快点抢沙发?