去年年末最重要的黑客入侵事件恐怕要数 索尼影视被黑 了,如同电影大片,一夜之间公司所有电脑全部被替换成了一张威胁图片。当时对这件事的幕后黑手是众说纷纭,绝大部分人相信是朝鲜黑客所为,因为索尼影视欲上映一部疑似有损金正恩形象的电影——《刺杀金正恩》,朝鲜不满,所以才发动攻击以制止电影的上映。后来证明朝鲜是被冤枉的,因为有个俄罗斯小伙自报家门称是索尼影视的幕后攻击者。
就在索尼影视事件发生不久,朝鲜中央通讯社网站也遭到了黑客攻击。这是朝鲜的一个官方新闻网站,经调查发现其网站代码中暗藏恶意代码,会对那些想关注朝鲜领导人活动的访客发动“水坑式”攻击。 究竟真凶是谁呢?至今还没有统一的说法……
这又说明了什么呢?索尼影视被黑和朝中社水坑式攻击有关系吗?且听我细细道来……
我们首先来看一下“朝中社水坑攻击”事件的样本。
Md5:2f7b96b196a1ebd7b4ab4a6e131aac58
这个样本其实是个病毒,我虚拟机里的2个工具就被感染了。
上图中体积比较大的文件就是被感染的,体积比较小的就是原来正常的程序。
样本运行后,会生成一个dll“wtime32.dll”,这是该病毒想要传播的“有效荷载”。 我们暂时先忽略感染的过程,直接分析这个dll,它有3个控制端,解密后如图:
恶意代码通过dns协议与这3个控制端交互,请求控制端的指令:
通信数据是通过dns的“CNAME”请求发出的:
其中字符串“6Ihq6UpmpuYH6MiGR6ZHLAYGBqjG58hniObopg.g.r”是加密的上线信息。
“6Ihq6UpmpuYH6MiGR6ZHLAYGBqjG58hniObopg”的加密方式是变种的base64,明文是“计算机名_网卡mac地址”组合。
“.g.r”是系统版本,解密:g-f=1是次版本号,r-m=5是主版本号,5.1代表xp系统。
控制指令系统如下:
当通过dns获得的指令是“ts”的时候,进入另外一套控制指令系统,新控制端ip是通过“dns隧道”获取到的:
与新的控制端连接后,控制端与被控端之间发送特定dword值进行认证(Handshake):
然后从控制端接收通信加密的密钥:
通信数据加密方式(add-xor-ror):
新的控制指令系统如下:
咦?这套控制指令好熟悉的样子??这个跟索尼被黑的某个样本及其相似。
看“us-cert”关于“索尼被黑”的一篇报告:
https://www.us-cert.gov/ncas/alerts/TA14-353A
这个是有内幕消息,非常的确定以及肯定。当然我也是有证据的,比如报告中这个样本“E904BF93403C0FB08B9683A9E858C73E”是有sony数字签名的:
从这篇报告里我们找到这样一条yara规则:
我们对比一下,“索尼”样本的控制指令完全就是“朝中社”样本的子集。
“朝中社”样本支持的控制指令: _prc、_quit、_dir、_del、_exe、_get、_got、_put、_dll、_dlu、_cap、_inf、_cmd “索尼”样本支持的控制指令: _quit、_exe、_put、_got、_get、_del、_dir
爆料
“朝中社水坑攻击”是2014年底的事件,但是这个病毒2012年就出现了:
http://www.threatexpert.com/report.aspx?md5=450d64e95187117dfbe507681f2cbdc2
“threatexpert”报告中释放的“wtime32.dll”与“朝中社”样本释放的md5一致:
思考
“朝中社水坑攻击”是不是朝鲜干的?上文中提到过:也有可能朝中社感染了病毒。“索尼被黑”是不是朝鲜干的?美国认定是朝鲜干的,但也没有拿出令人信服的证据。
美国这么说估计也就是政治上的需要,制裁、打压朝鲜的借口罢了。那到底是不是朝鲜干的?Who knows!
* 作者/holletong,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)