Примерно год назад вредоносное ПО группы Lazarus было обнаружено в различных корейских компаниях, связанных с национальной обороной, спутниками, программным обеспечением и прессой. Аналитическая группа AhnLab ASEC постоянно отслеживает деятельность угрожающей группы Lazarus и другие связанные с ней ТТП.
Среди последних случаев, эта заметка призвана поделиться антикриминалистическими следами и деталями, обнаруженными в системах, в которые проникла группа Lazarus.
Lazarus APT
Антикриминалистика - это фальсификация доказательств в попытке снизить эффективность криминалистического расследования на месте преступления. С точки зрения взлома, антикриминалистика обычно преследует следующие цели.
- Уклонение от обнаружения и препятствование сбору информации
- Увеличение времени анализа цифровых криминалистических аналитиков
- отключить или вызвать неисправность инструментов цифровой криминалистики
- Блокировать, обходить или удалять журналы регистрации, чтобы скрыть следы доступа или выполнения инструментов.
Группа Lazarus проводила антикриминалистические мероприятия для сокрытия своих злонамеренных действий.
Хотя существуют различные стандарты классификации антикриминалистических методов, в этой заметке будет использована наиболее широко распространенная классификация антикриминалистических методов, предложенная доктором Маркусом Роджером, чтобы выделить и проанализировать меры по сокрытию, предпринятые группой Lazarus.
Доктор Маркус Роджер классифицировал антикриминалистические методы, препятствующие проведению судебной экспертизы, на 5 основных категорий: сокрытие данных, стирание артефактов, обфускация следов, атаки против компьютерной криминалистики и физические.
Если рассматривать 5 категорий, то группа Lazarus использовала сокрытие данных, стирание артефактов и обфускацию следов, всего 3 метода.
Сокрытие данных относится к методу сокрытия данных, который затрудняет их обнаружение. Основные примеры включают обфускацию данных, шифрование, стеганографию и сокрытие данных в нераспределенных областях.
Группа Lazarus выделяла и использовала свои вредоносные программы, состоящие из 3 частей. Загрузчик, исполняемый файл и файл конфигурации. Основные характеристики каждого файла следующие.
Загрузчик: Расшифровывает зашифрованные PE-файлы и загружает их в память.
Зашифрованный PE: вредоносная программа, которая запускается в памяти загрузчика и расшифровывает зашифрованные файлы конфигурации для связи с адресом C2.
Зашифрованная конфигурация: Зашифрованный файл конфигурации, содержащий информацию C2.
Группа Lazarus передает файл конфигурации, содержащий информацию C2, и файл PE, который взаимодействует с C2, в зашифрованном виде, чтобы избежать обнаружения продуктами безопасности. Зашифрованные файлы работают после того, как их расшифровывает файл-загрузчик. Затем они получают дополнительные файлы от C2 и выполняют вредоносные действия.
Группа Lazarus либо использовала системную папку в качестве тайника, либо имитировала имя обычного файла, чтобы скрыть свое вредоносное ПО. Системные папки по умолчанию - это то место, где в основном прячутся вредоносные программы. Вредоносное ПО прячется либо путем создания аналогичной папки в системе, либо путем маскировки вредоносного ПО под обычный файл в системном файле, который скрыт по умолчанию.
- C:\ProgramData\
- C:\ProgramData\Microsoft\
- C:\Windows\System32\
Папка C:\ProgramData - это системная папка, скрытая по умолчанию. Внутри этой папки создается папка с именем, похожим на имя папки по умолчанию (MicrosoftPackages), в которой прячется вредоносная программа, либо вредоносная программа маскируется под похожий файл в папке по умолчанию.
Стирание артефактов относится к задаче безвозвратного удаления определенных файлов или всей файловой системы. При этом не только удаляются файлы, но и могут использоваться экспертные инструменты для стирания всех следов использования. Например, утилита Disk Clean-up, удаление файлов и размагничивание диска относятся к артефактной очистке.
За исключением вредоносной программы с бэкдором, группа Lazarus удалила вредоносную программу и артефакты, которые появились во время выполнения вредоносного поведения. В случае с вредоносной программой ее данные были перезаписаны, а имя файла было изменено перед удалением.
Оригинальное содержимое файла больше нельзя увидеть, если раздел данных был перезаписан во время удаления файла, поскольку это затрудняет восстановление данных с помощью таких методов, как восстановление файлов и вырезание данных.
Обфускация следов относится к задаче запутать процесс судебной экспертизы, чтобы скрыть вредоносное поведение. Модификация/удаление журналов, спуфинг, вставка неверной информации и прыжки по магистрали могут считаться примерами способов помешать анализу или запутать аналитиков.
В процессе удаления артефактов группа Lazarus удаляла почти все файлы и журналы, которые они использовали, однако в системе оставался один штамм вредоносного ПО - бэкдор. Бэкдоры, как правило, должны сохраняться в целевой системе в течение длительного времени, оставаясь незамеченными, поэтому группа Lazarus изменяет информацию о времени создания вредоносной программы, чтобы скрыть бэкдор.
Похоже, что основная причина, по которой они изменяют информацию о времени, заключается в том, чтобы избежать анализа временной шкалы. Анализ временной шкалы относится к технике анализа, которая отслеживает файлы, которые были созданы/изменены/удалены/доступны во время инцидента. Когда информация о временной метке изменена, журналы с участием вредоносного ПО не учитываются в процессе анализа, что сбивает направление анализа или приводит к неверным выводам.
Было обнаружено, что временная метка вредоносной программы, найденной в системе, полностью совпадает с временной меткой какого-то другого файла в той же системе.
Свойство $STANDARD_INFORMATION и свойство $FILE_NAME соответственно имеют 4 временные метки в файловой системе Windows (NTFS): метки создания файла, модификации, доступа и изменения записи. Временные метки, отображаемые на вкладке свойств файла Windows, являются данными из $STANDARD_INFORMATION.
$STANDARD_INFORMATION: свойство, которое существует по умолчанию во всех файлах и содержит основную информацию о файлах, такую как их временные метки, характеристики, идентификатор владельца и идентификатор безопасности.
$FILE_NAME: свойство, существующее по умолчанию во всех файлах, которое содержит имя файла и различные другие дополнительные данные о файлах, так как его цель - сохранить имя файлов.
$MFT был извлечен, и временные метки были сравнены для детального анализа временных меток. В результате команда обнаружила, что метка времени в свойстве $STANDARD_INFORMATION системного файла по умолчанию (notepad.exe) и вредоносной программы (DapowSyncProvider.dll) полностью совпадают.
Группа Lazarus изменила временную метку вредоносной программы таким образом, чтобы она совпадала и выглядела как системный файл по умолчанию, чтобы избежать анализа временной шкалы.
Ниже приведены подробности изменения временной метки вредоносного ПО, найденного в системах, в которые недавно проникла группа Lazarus.
С учетом приведенной выше информации, характеристики метода модификации временных меток вредоносных программ группы Lazarus можно обобщить следующим образом.
- Временные метки изменяются не у всех вредоносных программ.
- Временные метки не устанавливаются в произвольные значения, а копируются из системных файлов по умолчанию.
- Учитывая, что в одном и том же инциденте есть системы с измененными и неизмененными метками времени, можно предположить, что модификация меток времени необязательна.
- Похоже, что цель копирования можно выбирать, поскольку одна и та же вредоносная программа могла бы иметь временные метки разных системных файлов.
Команда подтвердила, что техника модификации временных меток, применяемая группой Lazarus, используется и другими APT-группами для сокрытия своих вредоносных программ.
В процессе атаки группа Lazarus либо шифровала свои вредоносные программы, либо маскировала их под имена системных файлов, чтобы избежать обнаружения продуктами безопасности. Они также изменяли временные метки файлов, чтобы затруднить анализ. Более того, они демонстрировали свою дотошность, перезаписывая данные перед удалением следов выполнения, чтобы затруднить восстановление данных.
При анализе антикриминалистических методов, использованных группой Lazarus, выяснилось, что другие APT-группы также используют те же методы для удаления следов своих атак.
Indicators of Compromise
MD5
- 064d696a93a3790bd3a1b8b76baaeef3
- 1e7d604fadd7d481dfadb66b9313865d
- 1f1a3fe0a31bd0b17bc63967de0ccc29
- 202a7eec39951e1c0b1c9d0a2e24a4c4
- 27db56964e7583e19643bf5c98fffd52
- 61b3c9878b84706db5f871b4808e739a
- 67d306c163b38a06e98da5711e14c5a7
- 6ea4e4ab925a09e4c7a1e80bae5b9584
- 747177aad5aef020b82c6aeabe5b174f
- 7870decbc7578da1656d1d1ff992313c
- 8543667917a318001d0e331aeae3fb9b
- 97bc894205d696023395cbd844fa4e37
- b3e03a41ced8c8baa56b8b78f1d55c22
- b457e8e9d92a1b31a4e2197037711783
- ba741fa4c7b4bb97165644c799e29c99
- bd47942e9b6ad87eb5525040db620756
- c09b062841e2c4d46c2e5270182d4272
- c16a6178a4910c6f3263a01929f306b9
- c7256a0fbab0f437c3ad4334aa5cde06
- ca9b6b3bce52d7f14babdba82345f5b1
- e73eab80b75887d4e8dd6df33718e3a5
- fc8b6c05963fd5285bce6ed51862f125