新的 MacOS Dacls RAT後門程式,展現駭客集團 Lazarus多平台的攻擊能力

一次性密碼(OTP)系統被用來產生只能登入和連上特定網路服務一次的密碼。這樣的滾動式密碼系統通常由第三方代管,減少駭客使用入侵的帳號來進入系統的風險。

趨勢科技在四月發現一個看似普通 OTP 身份驗證工具的應用程式樣本 TinkaOTP。經過進一步調查發現,此應用程式與 2019年12月現身的Windows和 Linux後門程式 Dacls遠端存取木馬(RAT)非常相似。此木馬的C&C伺服器和儲存樣本連線時所用的字串可以和駭客集團Lazarus之前的部署關聯在一起。

跟駭客集團 Lazarus 的關聯

執行 TinkaOTP應用程式後,此樣本看起來是安裝並執行的DMG安裝套件。啟動該應用程式最初並沒有發現任何可疑行為,但它會將隱藏檔案~/Library/.mina植入Library資料夾,並將LaunchDaemon /Library/LaunchDaemons/com.aex-loop.agent.plist設定在開機時執行該隱藏檔案。

圖1. TinkaOTP植入隱藏檔案

另外一個比對顯示出安裝套件的主要mach-o執行檔/Contents/MacOS/TinkaOTP是名為MinaOTP的OTP工具重新封裝過的版本,該工具可從GitHub取得。

圖2. TinkaOTP(左)和MinaOTP(右,圖片取自GitHub)
圖3. 反組譯TinkaOTP主要執行檔顯示直接參照了MinaOTP模組,還有用來複製惡意隱藏檔的shell命令

追蹤隱藏檔.mina的來源顯示它是安裝套件所包含資源(更名為SubMenu.nib)的副本,包含了主要後門功能。它也跟Lazarus之前的Windows和Linux版本有相同的關聯:存在寫死的字串c_2910.clsk_3872.cls。根據360 Netlab研究人員的報告,這兩個字串之前在跟網路犯罪集團用來儲存樣本的thegagabondsatchel[.]com網域進行C&C連線時用過。

圖4. 用於C&C連線的字串
圖5. 與Windows和Linux版本後門程式相同的HTTP Post訊息格式

我們還找到另一個會植入主要後門程式的執行檔。雖然沒有看到SubMenu.nib,但它會從寫死的地址下載惡意內容,解開後寫入隱藏檔案來執行。檢查地址loneeaglerecords[.]com時發現該網域已經註冊並存在了11年,但所用的HTTPS憑證相當新。該網域被分配給50[.]87[.]144[.]227,這是個會代管各種Windows惡意軟體(如ADWIND和URSNIF)的IP。儘管有不同之處,不過兩個變種下載的隱藏檔案都相同。

圖6. 另一變種取得惡意內容的地址

該集團似乎將此版本當作Windows/Linux Dacls RAT的後續。可以從最近新版本下載地址的IP分配和HTTP憑證來確認這一點。

後門程式和持續性行為

後門程式安裝順序表示它透過/LaunchAgents/com.aex-loop.agent.plist/Library/LaunchDaemons/com.aex-loop.agent.plist達到持續性。它會初始化設定檔/Library/Caches/com.applestore.db來設定C&C伺服器IP和用於遠端連線的資訊。載入bot外掛可以連上伺服器並等待命令,根據接收到的命令來更新設定檔,並用AES CBC模式加密檔案。如果設定檔已經存在,會在新連線啟動後解密。

圖7. 反組譯用於持續性的程式碼

安裝完成後,它會檢查現有設定檔是否存在。如果沒有就會建立設定檔案並寫入相關資料,如C&C伺服器地址和其他C&C連線資訊。Bot一開始連接的C&C伺服器IP(即67[.]43[.]239[.]146和185[.]62[.]58[.]207)被寫死在後門程式並寫入設定檔。接著設定檔會寫入/Library/Caches/com.applestore.db並加密。完成後,後門程式會繼續載入負責特定功能的外掛。

圖8. 寫入設定檔的初始伺服器IP。該檔案可能會將IP重寫為新伺服器的更新IP地址。
圖9. 寫入設定檔並用AES CBC模式加密

檢查伺服器IP還發現該網域也有代管合法流量;封鎖上述網域可能會對其他網站造成影響。

感染時的惡意行為

初步分析反組譯的程式碼時發現用來載入IP和外掛的字串似乎缺少部分字元。不過仔細檢查前幾個字元後發現是有意分離的,可能是為了躲避偵測。

圖10. 躲避偵測

收到伺服器回應後,會檢查標頭以確定要執行的外掛,每個外掛都被設定好在初始化時載入各自功能。比較MacOS及Windows/Linux變種所用的外掛可以看出一些區別和額外功能。

圖11. 掃描標頭
擴充套件名稱 字串 功能
Plugin_CMD /bin/bash 執行收到的命令反向Shell能力
Plugin_FILE plugin_file 掃描資料夾下載檔案開啟、寫入和刪除
Plugin_PROCESS plugin_process 收集執行中程序的資料建立程序終止程序
Plugin_TEST plugin_test 測試伺服器所指派地址來確認網路連線能力
Plugin_RP2Pv plugin_reverse_p2p 建立bot和伺服器間的代理程式
Plugin_LOGSEND logsend 連接日誌伺服器掃描系統傳送收集的日誌
PLUGIN_SOCKS plugin_socks 啟動Socks4執行緒來建立SSL連線

表1. 外掛範本和功能

bash/cmd外掛被用來執行shell命令,做法是將它們轉換成bash腳本在終端機執行。根據所收到封包內設定的參數,它還具備反向Shell的能力。

圖12. bash/cmd外掛

file外掛提供跟Windows/Linux版本一樣的功能:可以讀取、寫入、刪除和下載檔案,並且可以掃描資料夾來找出指定檔案。

圖13. File外掛

檢查參數可以看出process外掛能夠根據所收到封包來執行如收集程序資訊、執行新程序以及終止執行中程序等功能。收集的程序資訊包括了目標程序的使用者名稱、使用者ID、群組ID和父程序ID。

其他外掛可以直接呼叫並執行伺服器所傳遞參數的功能,process外掛的不同之處在於伺服器不會直接呼叫外掛本身的功能;執行前會先呼叫process外掛功能的位址。

圖14. Process外掛
圖15. Process外掛在傳送所收集資料前先整理好格式

Test外掛會試著連上所提供地址來檢查網路連線能力。而reverse P2P則可以建立代理伺服器來連結C&C和客戶端。將自己變成代理程式來跟命令中所指定的另一個C&C建立連線,將流量從受感染電腦導向真正的C&C伺服器。

圖16. Test外掛
圖17. Reverse P2P外掛

logsend外掛會用功能start_scan_worm掃描系統來收集系統資訊並傳送到指定日誌伺服器。而socks外掛會用socks4建立SSL連線。在Windows/Linux版本並沒有此外掛。

圖18. Logsend外掛
圖19. Socks外掛

結論

發現Windows/Linux版本變種以及對其行為的分析可以看出Lazarus集團具備廣泛的專業知識。正如之前發現針對MacOS的Lazarus活動時所提到,轉換焦點到攻擊多種作業系統顯示其延伸目標的範圍。也可以看出駭客集團是在為未來的攻擊做實驗,這一點可以從之前類似活動沒有出現過的外掛看出。

要特別指出一點,我們在2019年經由惡意電子表格首次發現Lazarus對MacOS感興趣後不久,此駭客集團很快就發展出無檔案威脅AppleJeus,顯示出其研究的快速發展。另一個要注意的是第一個變種在寫入惡意程式時的唯一躲避方式只是將惡意內容寫入一個隱藏檔;而第二個變種就加以改進成為了下載惡意內容。儘管攻擊手法還沒有太複雜,不過有鑑於AppleJeus惡意軟體很快就發展成無檔案版本,我們可以預期駭客集團很快就會進行類似的作法。

我們同時懷疑駭客集團可能會針對特定使用者派送bot,利用了使用者對多層次安全性的需求。OTP身份驗證工具也被用來管理虛擬貨幣錢包和交易,這是另一個網路犯罪集團詐騙攻擊的常見目標。同時也可能將目標擴展到行動平台。原本的MinaOTP原始碼就有包含另一個單獨的MinaOTP-iOS專案,所以該集團可能正在計劃重新打造成行動版本。我們會繼續監視Lazarus的部署和活動。

為了保護系統來抵禦此類威脅,使用者應該只從官方和合法商店下載應用程式。使用者還可以考慮使用如趨勢科技PC-cillin for Mac這樣的多層次安全解決方案,可以提供全面性安全防護及多裝置保護來抵禦網路威脅。

企業可以使用整合XGen安全防護技術的趨勢科技Smart Protection Suite,融合了高保真機器學習與混合式威脅防護技術來消弭任何使用者活動或端點所可能產生的安全間隙。

入侵指標(IoC

SHA256 檔案名稱 偵測名稱
846d8647d27a0d729df40b13a644f3bffdc95f6d0e600f2195c85628d59f1dc6 /Contents/Resources/Base.lproj/SubMenu.nib Backdoor.MacOS.DACLS.A
d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd TinkaOTP.dmg Backdoor.MacOS.DACLS.A
e5b842784cc3e9bc0376915d2d823c3e4e076d29b5fb98ea69ff9a56b0f4a54a
216a83e54cac48a75b7e071d0262d98739c840fd8cd6d0b48a9c166b69acd57d
7e8a086319a218732dde5a749afdd9813d3047eaeef511e0374ca64fd8d0d033
899e66ede95686a06394f707dd09b7c29af68f95d22136f0a023bfd01390ad53
fea0bd961d8d72642a3e1cb92b6ac084a9680eaef816ad414e282f6ea87d52c6 TinkaOTP.app Backdoor.MacOS.DACLS.A
7b8792025aacff5dacb3a9121ec2f5bfa33d5932d1f43b9ad0d518c55c6e1298 /Contents/MacOS/TinkaOTP Backdoor.MacOS.DACLS.A
90fbc26c65e4aa285a3f7ee6ff8a3a4318a8961ebca71d47f51ef0b4b7829fd0

網址

https[://]loneeaglerecords[.]com/wp-content/uploads/2020/01/images[.]tgz.001        惡意內容

MITRE ATT&CK框架

黃色方塊代表分析時觀察到的特徵,而綠色方塊代表根據所看到C&C伺服器命令可能採取的動作。

@原文出處:New MacOS Dacls RAT Backdoor Show Lazarus’ Multi-Platform Attack Capability 作者:Gabrielle Joyce Mabutas(趨勢科技

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FB IG Youtube LINE 官網