文章插图
360网络安全研究院(360Netlab)于近日发文称,他们在10月25日发现了一个可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812),并在随后发现了它与朝鲜黑客组织“拉撒路”之间的关联 。
进一步分析表明,该文件实际上是一款功能完善、行为隐蔽的模块化远控木马,且分为windows和linux两个版本 。其中,Linux版本包含有6个插件模块,分别负责执行不同的任务:执行命令、文件管理、进程管理、测试网络访问、C2连接代理和网络扫描 。
根据文件名和硬编码的字符串,360Netlab决定将此新型远控木马命名为“Dacls”(Win32.Dacls和Linux.Dacls),而这也是首次观察到“拉撒路”组织将Linux主机列为攻击目标 。
文章插图
“拉撒路”什么来头?拉撒路,由Lazarus音译而来,也被称为HIDDEN COBRA、GUARDIANS OF PEACE、ZINC或NICKEL ACADEMY,被认为是目前全球规模最大、最为活跃的黑客组织之一,且被指得到了朝鲜政府的支持 。
据称,该组织自2009年以来就一直处于活跃状态,且与多起轰动一时的网络攻击事件有关,包括2014年索尼影业被黑事件、2016年孟加拉国银行网络攻击事件,以及2017年WannaCry勒索软件事件 。
文章插图
恶意文件托管服务器通过寻线追踪,360Netlab成功发现了一台托管有Win32.Dacls和Linux.Dacls的服务器 。除Dacls远控木马外,这台服务器还托管有其他一些样本,如开源程序Socat(命令行工具)以及Confluence CVE-2019-3396漏洞利用脚本 。
文章插图
Linux.Dacls样本分析如上所述,Linux.Dacls包含有6个插件模块,分别负责执行不同的任务:执行命令、文件管理、进程管理、测试网络访问、C2连接代理和网络扫描 。
初始化行为
启动后,Linux.Dacls会以daemon方式在后台运行,并通过启动参数“/pro”、Bot PID文件“/var/run/init.pid”和Bot进程名“/proc/<pid>/cmdline”,来区分不同运行环境(可能是用于Bot程序升级) 。
文章插图
C2协议
Linux.Dacls和C2通信主要分为三个阶段,并采用了TLS和RC4双层加密算法,保障数据通信安全 。
第一阶段是建立TLS连接;第二阶段是双方协议认证过程(Malware Beaconing);第三阶段是Bot发送RC4加密后的数据 。
文章插图
Bash插件
Bash插件主要支持两个功能:一是接收C2服务器的下发的系统命令并执行;二是C2通过指令下发临时C2,Bot然后连接到临时C2并执行临时C2下发的系统命令 。
文章插图
File插件
File插件主要功能是文件管理,除了支持对文件的读/写/删除/查找操作,还可以从指定的服务器下载文件 。
文章插图
Process插件
Process插件的主要功能是进程管理,包括杀死指定进程、创建daemon进程、获得当前进程的PID和PPID,以及获取进程列表信息 。
文章插图
Test插件
Test插件的主要功能是通过连接C2指定的IP地址和端口,测试其网络连通性 。
文章插图
Reverse P2P插件
Reverse P2P插件实际上是一种C2连接代理(Connection Proxy),它通过下发控制命令可以将指定的C2数据完整的转发到指定IP端口 。
文章插图
LogSend插件
LogSend插件的主要功能有三个:一是测试连接Log服务器,二是随机扫描全网8291端口并上报给Log服务器,三是执行耗时较长的系统命令并将控制台输出结果实时上报给Log服务器 。
文章插图
安全建议360Netlab建议Confluence用户应及时更新补丁,并可以根据Dacls远控木马所创建的进程、文件名以及TCP网络连接特征来判断自己的系统是否已经遭到感染,然后有针对性地清理相关进程和文件 。
推荐阅读
- 暖气片越多是不是越暖和,暖气片数太多会带不起来吗
- 梦见自己老公要和别的女人睡觉 我梦见老公和别的女人睡觉
- 梦见和媳妇又结婚是什么意思 梦见自己和媳妇结婚
- MySQL, PostgreSQL CentOS常用数据库安装和python使用
- 细品Linux系统中文件的三个时间属性
- 疯狂茶价 刺痛白沙绿茶转型之路
- 教练|职业足球运动员真是个高危职业,这五点和三个方面,都要考虑
- 和成浴缸价格明细
- 紫皮蒜好还是白皮蒜好 紫皮蒜和白皮蒜哪个好
- 海豚跟虎鲸哪个聪明 海豚和白鲸哪个智商更高