转载

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

背景简介

去年年末最重要的黑客入侵事件恐怕要数 索尼影视被黑 了,如同电影大片,一夜之间公司所有电脑全部被替换成了一张威胁图片。当时对这件事的幕后黑手是众说纷纭,绝大部分人相信是朝鲜黑客所为,因为索尼影视欲上映一部疑似有损金正恩形象的电影——《刺杀金正恩》,朝鲜不满,所以才发动攻击以制止电影的上映。后来证明朝鲜是被冤枉的,因为有个俄罗斯小伙自报家门称是索尼影视的幕后攻击者。

就在索尼影视事件发生不久,朝鲜中央通讯社网站也遭到了黑客攻击。这是朝鲜的一个官方新闻网站,经调查发现其网站代码中暗藏恶意代码,会对那些想关注朝鲜领导人活动的访客发动“水坑式”攻击。 究竟真凶是谁呢?至今还没有统一的说法……

这又说明了什么呢?索尼影视被黑和朝中社水坑式攻击有关系吗?且听我细细道来……

“朝中社水坑攻击”样本分析

我们首先来看一下“朝中社水坑攻击”事件的样本。

Md5:2f7b96b196a1ebd7b4ab4a6e131aac58

这个样本其实是个病毒,我虚拟机里的2个工具就被感染了。

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

上图中体积比较大的文件就是被感染的,体积比较小的就是原来正常的程序。

因此我怀疑不是“朝中社水坑攻击”,而是朝中社被病毒感染了……大家说呢?

样本运行后,会生成一个dll“wtime32.dll”,这是该病毒想要传播的“有效荷载”。 我们暂时先忽略感染的过程,直接分析这个dll,它有3个控制端,解密后如图:

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

恶意代码通过dns协议与这3个控制端交互,请求控制端的指令:

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

通信数据是通过dns的“CNAME”请求发出的:

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

其中字符串“6Ihq6UpmpuYH6MiGR6ZHLAYGBqjG58hniObopg.g.r”是加密的上线信息。

“6Ihq6UpmpuYH6MiGR6ZHLAYGBqjG58hniObopg”的加密方式是变种的base64,明文是“计算机名_网卡mac地址”组合。

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

“.g.r”是系统版本,解密:g-f=1是次版本号,r-m=5是主版本号,5.1代表xp系统。

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

控制指令系统如下:

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

当通过dns获得的指令是“ts”的时候,进入另外一套控制指令系统,新控制端ip是通过“dns隧道”获取到的:

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

与新的控制端连接后,控制端与被控端之间发送特定dword值进行认证(Handshake):

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

然后从控制端接收通信加密的密钥:

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

通信数据加密方式(add-xor-ror):

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

新的控制指令系统如下:

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

咦?这套控制指令好熟悉的样子??这个跟索尼被黑的某个样本及其相似。

索尼被黑事件分析

看“us-cert”关于“索尼被黑”的一篇报告:

https://www.us-cert.gov/ncas/alerts/TA14-353A

你也许会说,报告自始至终都没提“sony”,凭什么认为它是关于“索尼被黑”的?

这个是有内幕消息,非常的确定以及肯定。当然我也是有证据的,比如报告中这个样本“E904BF93403C0FB08B9683A9E858C73E”是有sony数字签名的:

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

从这篇报告里我们找到这样一条yara规则:

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

是不是跟“朝中社水坑攻击”的样本很相似的说!

我们对比一下,“索尼”样本的控制指令完全就是“朝中社”样本的子集。

“朝中社”样本支持的控制指令: _prc、_quit、_dir、_del、_exe、_get、_got、_put、_dll、_dlu、_cap、_inf、_cmd “索尼”样本支持的控制指令: _quit、_exe、_put、_got、_get、_del、_dir

爆料

“朝中社水坑攻击”是2014年底的事件,但是这个病毒2012年就出现了:

http://www.threatexpert.com/report.aspx?md5=450d64e95187117dfbe507681f2cbdc2

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

“threatexpert”报告中释放的“wtime32.dll”与“朝中社”样本释放的md5一致:

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

思考

“朝中社水坑攻击”是不是朝鲜干的?上文中提到过:也有可能朝中社感染了病毒。“索尼被黑”是不是朝鲜干的?美国认定是朝鲜干的,但也没有拿出令人信服的证据。

美国这么说估计也就是政治上的需要,制裁、打压朝鲜的借口罢了。那到底是不是朝鲜干的?Who knows!

恶意代码分析:索尼被黑和朝中社“水坑”攻击可能是同一组织所为

* 作者/holletong,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

正文到此结束
Loading...