恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为
背景简介
去年年末最重要的黑客入侵事件恐怕要数 索尼影视被黑 了,如同电影大片,一夜之间公司所有电脑全部被替换成了一张威胁图片。当时对这件事的幕后黑手是众说纷纭,绝大部分人相信是朝鲜黑客所为,因为索尼影视欲上映一部疑似有损金正恩形象的电影——《刺杀金正恩》,朝鲜不满,所以才发动攻击以制止电影的上映。后来证明朝鲜是被冤枉的,因为有个俄罗斯小伙自报家门称是索尼影视的幕后攻击者。
就在索尼影视事件发生不久,朝鲜中央通讯社网站也遭到了黑客攻击。这是朝鲜的一个官方新闻网站,经调查发现其网站代码中暗藏恶意代码,会对那些想关注朝鲜领导人活动的访客发动“水坑式”攻击。 究竟真凶是谁呢?至今还没有统一的说法……
这又说明了什么呢?索尼影视被黑和朝中社水坑式攻击有关系吗?且听我细细道来……
“朝中社水坑攻击”样本分析
我们首先来看一下“朝中社水坑攻击”事件的样本。
Md5:2f7b96b196a1ebd7b4ab4a6e131aac58
这个样本其实是个病毒,我虚拟机里的2个工具就被感染了。
上图中体积比较大的文件就是被感染的,体积比较小的就是原来正常的程序。
因此我怀疑不是“朝中社水坑攻击”,而是朝中社被病毒感染了……大家说呢?
样本运行后,会生成一个dll“wtime32.dll”,这是该病毒想要传播的“有效荷载”。 我们暂时先忽略感染的过程,直接分析这个dll,它有3个控制端,解密后如图:
恶意代码通过dns协议与这3个控制端交互,请求控制端的指令:
通信数据是通过dns的“CNAME”请求发出的:
其中字符串“6Ihq6UpmpuYH6MiGR6ZHLAYGBqjG58hniObopg.g.r”是加密的上线信息。
“6Ihq6UpmpuYH6MiGR6ZHLAYGBqjG58hniObopg”的加密方式是变种的base64,明文是“计算机名_网卡mac地址”组合。
“.g.r”是系统版本,解密:g-f=1是次版本号,r-m=5是主版本号,5.1代表xp系统。
控制指令系统如下:
当通过dns获得的指令是“ts”的时候,进入另外一套控制指令系统,新控制端ip是通过“dns隧道”获取到的:
与新的控制端连接后,控制端与被控端之间发送特定dword值进行认证(Handshake):
然后从控制端接收通信加密的密钥:
通信数据加密方式(add-xor-ror):
新的控制指令系统如下:
咦?这套控制指令好熟悉的样子??这个跟索尼被黑的某个样本及其相似。
索尼被黑事件分析
看“us-cert”关于“索尼被黑”的一篇报告:
https://www.us-cert.gov/ncas/alerts/TA14-353A
你也许会说,报告自始至终都没提“sony”,凭什么认为它是关于“索尼被黑”的?
这个是有内幕消息,非常的确定以及肯定。当然我也是有证据的,比如报告中这个样本“E904BF93403C0FB08B9683A9E858C73E”是有sony数字签名的:
从这篇报告里我们找到这样一条yara规则:
是不是跟“朝中社水坑攻击”的样本很相似的说!
我们对比一下,“索尼”样本的控制指令完全就是“朝中社”样本的子集。
“朝中社”样本支持的控制指令: _prc、_quit、_dir、_del、_exe、_get、_got、_put、_dll、_dlu、_cap、_inf、_cmd “索尼”样本支持的控制指令: _quit、_exe、_put、_got、_get、_del、_dir
爆料
“朝中社水坑攻击”是2014年底的事件,但是这个病毒2012年就出现了:
http://www.threatexpert.com/report.aspx?md5=450d64e95187117dfbe507681f2cbdc2
“threatexpert”报告中释放的“wtime32.dll”与“朝中社”样本释放的md5一致:
思考
“朝中社水坑攻击”是不是朝鲜干的?上文中提到过:也有可能朝中社感染了病毒。“索尼被黑”是不是朝鲜干的?美国认定是朝鲜干的,但也没有拿出令人信服的证据。
美国这么说估计也就是政治上的需要,制裁、打压朝鲜的借口罢了。那到底是不是朝鲜干的?Who knows!
* 作者/holletong,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
正文到此结束
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
