Lazarus 组织开始在攻击中应用反取证技术

程序员小肖

已于 2024-01-17 19:04:25 修改

阅读量128

点赞数

文章标签：网络

于 2023-08-12 14:35:23 首次发布

本文链接：https://blog.csdn.net/qq_53058639/article/details/132248618

版权

大约一年前开始，在韩国国防、卫星、软件和媒体出版等多个行业的公司中都发现了 Lazarus 组织的身影。本文旨在通过 Lazarus
组织入侵的组织，总结该犯罪团伙所使用的反取证技术。

概述

反取证技术是攻击者旨在篡改证据，试图提高犯罪现场取证调查难度而应用的一类技术。反取证技术通常要达成以下目标：

规避检测并阻碍信息收集

增加取证分析的难度

禁用或使数字取证工具失灵

阻止、绕过或删除日志以隐藏痕迹

反取证技术的分类多种多样，本文使用 Marcus Roger
博士提出的分类标准（数据隐藏、数据清除、痕迹混淆、针对数字取证的攻击、物理攻击）来进行分析。具体来说，Lazarus
组织使用了数据隐藏、数据清除与痕迹混淆三种技术。

数据隐藏

数据隐藏是指使数据难以被发现，主要包括混淆、加密、隐写术与其他形式的手段。

加密

Lazarus 组织在加载程序、可执行文件与配置文件中都应用了加密操作：

加载程序：解密加密的 PE 文件并加载到内存中

可执行文件：由加载程序加载后解密配置文件与 C&C 服务器通信

配置文件：存储加密的 C&C 服务器信息

image.png-60kB 后门执行过程

Lazarus 组织通过加密方式传输带有 C&C 服务器信息的配置文件和与 C&C 服务器通信的 PE
可执行文件。加密文件在被加载程序加密到内存后运行，再从 C&C 服务器接收其他文件执行恶意行为。

其他数据隐藏方式

Lazarus
组织经常使用系统文件夹作为藏身之处，也会模仿普通文件的名称来进行隐藏。攻击者通过在系统中创建类似的文件夹，或将恶意软件伪装成默认隐藏的系统文件中的普通文件。常用的目录如下：

C:\ProgramData\

C:\ProgramData\Microsoft\

C:\Windows\System32\

image.png-273.6kB 创建类似文件夹

C:\ProgramData
文件夹是默认隐藏的系统文件夹。在此文件夹内创建一个名称与默认文件夹相似的文件夹作为恶意软件隐藏位置，或者将恶意软件伪装成默认文件夹内的类似文件。

image.png-163.7kB 模仿默认文件名

数据清除

数据清除是指永久删除特定文件或整个文件系统。在删除文件外，还可以抹去所有使用痕迹。

文件清除

Lazarus
会删除恶意软件与恶意软件执行时出现的各种文件，手段是数据覆盖或者直接删除文件，部分甚至会在删除前更改文件名。数据被覆盖后，就很难再找到原始文件内容，使得分析人员在文件恢复与数据取证的过程变得异常困难。

image.png-76.4kB 恶意软件删除

Lazarus 也会清除应用程序执行时预读取文件，全面消除恶意软件执行的痕迹。

image.png-281.2kB 预读取文件删除

在初始访问或横向平移时，Lazarus 组织可能会利用应用程序的 0-day 漏洞进行攻击。由漏洞攻击产生的错误报告与内存 Dump
文件，也会被攻击者一并删除。

image.png-34kB 漏洞攻击痕迹删除

痕迹混淆

痕迹混淆是指混淆那些取证过程中可能揭示恶意行为的情况，达成隐藏的目的。例如日志的修改、删除、插入不正确的信息等都是干扰分析和痕迹混淆的例子。

时间戳更改

Lazarus 几乎会删除所有的文件与日志，但仍然会将后门类恶意软件留在失陷主机。为了保证后门在失陷主机上长期存在不被发现，Lazarus
组织会修改恶意软件创建时间戳来进行隐藏。

厂商经常会跟踪事件发生前后的创建、修改、删除、访问文件，更改时间戳的动机应该是为了逃避时间线分析。时间戳被篡改后，分析过程中就可能会被遗漏，引导分析人员误入歧途。

image.png-91.9kB 时间戳比较

image.png-96.9kB 时间戳比较

在失陷主机上发现的恶意软件时间戳，与系统上其他文件的时间戳完全一致。

NTFS 文件系统上 $STANDARD_INFORMATION属性和
$FILE_NAME属性有四个时间戳：文件创建、修改、访问与属性修改。Windows 文件属性中显示的时间戳是来自
$STANDARD_INFORMATION的时间戳。

$STANDARD_INFORMATION：默认存在于所有文件中的属性，包含文件的基本信息，如时间戳、所有者和安全等。
$FILE_NAME：默认存在于所有文件中的属性，包含文件名和文件的各种其他附加数据，其目的是保存文件名。

经过分析，发现默认系统文件 notepad.exe 与恶意软件 DapowSyncProvider.dll 的
$STANDARD_INFORMATION时间戳完全一致。

image.png-67.4kB 时间戳比较

近期在失陷主机上发现的篡改时间戳的样本如下所示：

image.png-170.2kB 篡改时间戳

Lazarus 对时间戳的修改可以归纳为以下几点：

并非所有恶意软件都要修改时间戳

时间戳并非修改为任意值，而是与默认系统文件相同

同一事件中可修改也可不修改，修改时间戳应该是可选项

默认系统文件也是可选的，相同的恶意软件会存在不同的时间戳

不仅是 Lazarus，修改时间戳的技术也被其他各个 APT 组织所广泛使用：

image.png-180.3kB 使用同类技术的
APT 组织

结论

在 Lazarus
组织攻击时，会使用各种各样的反取证技术。一方面可以逃避安全产品的检测，另一方面也可以阻碍安全人员的分析。攻击者全面清除了文件与日志，几乎完全消除了执行痕迹来阻碍数据取证，显示出攻击者的细致。

在调查和分析事件时，必须考虑攻击者使用反取证技术的可能性。也需要对相关方法与技术进行持续研究，以确保即使在攻击者应用反取证技术时也可以跟踪恶意软件。

IOC

B3E03A41CED8C8BAA56B8B78F1D55C22
1E7D604FADD7D481DFADB66B9313865D
7870DECBC7578DA1656D1D1FF992313C
B457E8E9D92A1B31A4E2197037711783
1F1A3FE0A31BD0B17BC63967DE0CCC29
C16A6178A4910C6F3263A01929F306B9
202A7EEC39951E1C0B1C9D0A2E24A4C4
1F1A3FE0A31BD0B17BC63967DE0CCC29
8543667917A318001D0E331AEAE3FB9B
CA9B6B3BCE52D7F14BABDBA82345F5B1
97BC894205D696023395CBD844FA4E37
C7256A0FBAB0F437C3AD4334AA5CDE06
FC8B6C05963FD5285BCE6ED51862F125
27DB56964E7583E19643BF5C98FFFD52
61B3C9878B84706DB5F871B4808E739A
6EA4E4AB925A09E4C7A1E80BAE5B9584
BD47942E9B6AD87EB5525040DB620756
67D306C163B38A06E98DA5711E14C5A7
C09B062841E2C4D46C2E5270182D4272
747177AAD5AEF020B82C6AEABE5B174F
E73EAB80B75887D4E8DD6DF33718E3A5
BA741FA4C7B4BB97165644C799E29C99
064D696A93A3790BD3A1B8B76BAAEEF3

参考来源

ASEC

B75887D4E8DD6DF33718E3A5

BA741FA4C7B4BB97165644C799E29C99
064D696A93A3790BD3A1B8B76BAAEEF3

参考来源

ASEC

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。

程序员小肖

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
Lazarus 组织开始在攻击中应用反取证技术

反取证技术是攻击者旨在篡改证据，试图提高犯罪现场取证调查难度而应用的一类技术。反取证技术通常要达成以下目标：规避检测并阻碍信息收集增加取证分析的难度禁用或使数字取证工具失灵阻止、绕过或删除日志以隐藏痕迹反取证技术的分类多种多样，本文使用 Marcus Roger博士提出的分类标准（数据隐藏、数据清除、痕迹混淆、针对数字取证的攻击、物理攻击）来进行分析。具体来说，Lazarus组织使用了数据隐藏、数据清除与痕迹混淆三种技术。
复制链接

扫一扫