本帖最后由 hellotong88 于 2015-4-22 09:25 编辑
背景简介
去年年末最重要的黑客入侵事件恐怕要数索尼影视被黑了,如同电影大片,一夜之间公司所有电脑全部被替换成了一张威胁图片。当时对这件事的幕后黑手是众说纷纭,绝大部分人相信是朝鲜黑客所为,因为索尼影视欲上映一部疑似有损金正恩形象的电影——《刺杀金正恩》,朝鲜不满,所以才发动攻击以制止电影的上映。后来证明朝鲜是被冤枉的,因为有个俄罗斯小伙自报家门称是索尼影视的幕后攻击者。 就在索尼影视事件发生不久,朝鲜中央通讯社网站也遭到了黑客攻击。这是朝鲜的一个官方新闻网站,经调查发现其网站代码中暗藏恶意代码,会对那些想关注朝鲜领导人活动的访客发动“水坑式”攻击。究竟真凶是谁呢?至今还没有统一的说法…… 这又说明了什么呢?索尼影视被黑和朝中社水坑式攻击有关系吗?且听我细细道来……
“朝中社水坑攻击”样本分析 我们首先来看一下“朝中社水坑攻击”事件的样本。 Md5:2f7b96b196a1ebd7b4ab4a6e131aac58这个样本其实是个病毒,我虚拟机里的2个工具就被感染了。 
上图中体积比较大的文件就是被感染的,体积比较小的就是原来正常的程序。 因此我怀疑不是“朝中社水坑攻击”,而是朝中社被病毒感染了……大家说呢? 样本运行后,会生成一个dll“wtime32.dll”,这是该病毒想要传播的“有效荷载”。我们暂时先忽略感染的过程,直接分析这个dll,它有3个控制端,解密后如图: 
恶意代码通过dns协议与这3个控制端交互,请求控制端的指令: 
通信数据是通过dns的“CNAME”请求发出的: 
其中字符串“6Ihq6UpmpuYH6MiGR6ZHLAYGBqjG58hniObopg.g.r”是加密的上线信息。 “6Ihq6UpmpuYH6MiGR6ZHLAYGBqjG58hniObopg”的加密方式是变种的base64,明文是“计算机名_网卡mac地址”组合。 
“.g.r”是系统版本,解密:g-f=1是次版本号,r-m=5是主版本号,5.1代表xp系统。 
控制指令系统如下: 
当通过dns获得的指令是“ts”的时候,进入另外一套控制指令系统,新控制端ip是通过“dns隧道”获取到的: 
与新的控制端连接后,控制端与被控端之间发送特定dword值进行认证(Handshake): 
然后从控制端接收通信加密的密钥: 
通信数据加密方式(add-xor-ror): 
新的控制指令系统如下: 
咦?这套控制指令好熟悉的样子??这个跟索尼被黑的某个样本及其相似。 索尼被黑事件分析 看“us-cert”关于“索尼被黑”的一篇报告: https://www.us-cert.gov/ncas/alerts/TA14-353A 你也许会说,报告自始至终都没提“sony”,凭什么认为它是关于“索尼被黑”的? 这个是有内幕消息,非常的确定以及肯定。当然我也是有证据的,比如报告中这个样本“E904BF93403C0FB08B9683A9E858C73E”是有sony数字签名的: 
从这篇报告里我们找到这样一条yara规则: 
是不是跟“朝中社水坑攻击”的样本很相似的说! 我们对比一下,“索尼”样本的控制指令完全就是“朝中社”样本的子集。 “朝中社”样本支持的控制指令:_prc、_quit、_dir、_del、_exe、_get、_got、_put、_dll、_dlu、_cap、_inf、_cmd“索尼”样本支持的控制指令:_quit、_exe、_put、_got、_get、_del、_dir爆料 “朝中社水坑攻击”是2014年底的事件,但是这个病毒2012年就出现了: http://www.threatexpert.com/report.aspx?md5=450d64e95187117dfbe507681f2cbdc2 
“threatexpert”报告中释放的“wtime32.dll”与“朝中社”样本释放的md5一致: 
思考
“朝中社水坑攻击”是不是朝鲜干的?上文中提到过:也有可能朝中社感染了病毒。“索尼被黑”是不是朝鲜干的?美国认定是朝鲜干的,但也没有拿出令人信服的证据。 美国这么说估计也就是政治上的需要,制裁、打压朝鲜的借口罢了。那到底是不是朝鲜干的?Who knows! 
| 
发表于 2015-4-20 15:00
|
发表于 2015-4-20 16:03
