如何深入分析LAZARUS APT針對MAC用戶使用的惡意word文檔

如何深入分析LAZARUS APT針對MAC用戶使用的惡意word文檔，針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

就在上個月，卡巴斯基實驗室的研究人員發現了一個針對macOS和Windows用戶的惡意攻擊活動，并將該活動命名為了“Lazarus APT”。據了解，此次攻擊活動主要針對的是金融領域的用戶，受影響最為嚴重的當屬加密貨幣交易平臺的用戶了。Lazarus網絡犯罪組織，又名Hidden Cobra，從2009年開始一直活躍至今，還有同學記得 日本索尼公司曾在2014年經歷過一次嚴重的網絡攻擊嗎？沒錯，那也是Lazarus干的。

我們將主要對Lazarus在攻擊macOS和Windows系統時所使用的攻擊邏輯以及惡意Word文檔進行分析。

實際上，利用VBA宏來創建惡意Microsoft Office文檔已經不算什么新鮮事了，尤其是針對銀行機構的木馬病毒。但我們很少能夠見到 針對macOS的惡意Word文檔，正因如此，我們才需要更加深入地了解Lazarus的攻擊技術細節，而這些內容是卡巴斯基的安全報告中沒有提及到的。

啟用了宏功能的惡意Word文檔

下面給出的是Lazarus針對韓國地區用戶的一份惡意文檔樣本：

奇怪的是，卡巴斯基的研究人員發現，上述攻擊活動大約是從2018年底才開始的，但是文檔中標注的創建日期卻是四年以前，也就是2014年11月3日。就文檔內容來看，該文件聲稱是由一家名為““Han Seung”的公司及其公司代表“Jin Seok Kim”提供的。

我們在搜索引擎中找出了幾家名叫“Han Seung”的公司，但這些公司都沒有“Jin Seok Kim”這個員工。因此，我們認為要么惡意文檔中公司名稱是假的，或者代表名稱是假的，要么就是全都是假的。

我們使用oletools來對惡意文檔中的VBA代碼進行了反匯編，從中我們可以看到，文檔首先會測試惡意代碼是否能夠在macOS上運行，如果可以運行，它將會根據VBA的版本來聲明系統函數和popen函數。

如果目標系統不是macOS，那么文檔會定義144個不同的數據數組，其中包含了ASCII碼，而這些ASCII碼可以組成一份完整的PowerShell腳本。

重構之后的腳本代碼段如下：

一切就緒之后，代碼會定義AutoOpen()的子路徑，并再次測試目標平臺是否為macOS或Windows。

我們可以看到目標設備的macOS版本架構，代碼會通過system函數來調用Payload下載功能（使用curl命令實現，下載目錄為/tmp），URL地址如下：

https//nzssdm.com/assets/mt.dat

代碼使用了chmod命令給Payload文件賦予了可執行權限，并運行了Payload。由于該文件是通過curl下載的，因此Gatekeeper和XProtect都無法檢測到它。

Windows版本架構由一個包含了下列PowerShell命令的字符串組成：

powershell-ExecutionPolicy Bypass -file spath

其中的spath是隨機命名的，文件名為13個隨機字符，但此時會添加.ps1作為文件后綴，，并保存在目標用戶的temp目錄中。

macOS后門

mt.dat這個Payload文件是一個Mach-O 64位可執行文件，符號表中的數據表明，這是一個自定義后門。其中的部分變量從名字就可以猜測到對應的功能，比如說CheckUSB和ReplyOtherShellCmd等等。但是，那些包含了字符串“Troy”的函數其功能就沒那么顯而易見了。但有些同學可能知道，“Troy”是一個著名的惡意軟件活動，主要針對的是韓國用戶。

從這里大家可以看出，這些命令顯然是從C2服務器發送過來的，靜態分析結果也表明，ReplyTroyInfo方法首先會檢測目標設備的主機名，然后進行網絡信息收集，最后將收集到的數據進行加密后提取至遠程服務器。

除此之外，攻擊者還試圖使用字符串規則匹配等方式來繞過某些遺留的反病毒機制。

執行惡意文件后，我們發現惡意軟件會嘗試與三個不同的C2服務器地址進行通信。每隔60秒，惡意軟件就會執行curl_easy_perform方法來嘗試與其中一個硬編碼服務器地址建立連接。如果連接建立失敗，進程會休眠60秒，并再次與下一臺服務器嘗試建立連接。

樣本中的服務器地址列表如下：

https://baseballcharlemagnelegardeur.com

https://www.tangowithcolette.com

https://towingoperations.com

使用netcat測試IP地址后，我們發現所有的服務器都處于活動狀態：

但是，我們無法直接運行惡意軟件，每一個嘗試跟服務器建立連接的請求都遇到了406錯誤，說明請求格式有問題：

除此之外，我們還從C2服務器獲取到了一份加密文件，下面給出的是其中一個惡意軟件通信地址：

https://www.tangowithcolette.com/pages/common.php

在下載該文件時，我們還發現了另一個引用地址：

“_Incapsula_Resource…”腳本包含了大量十六進制值：

將其轉換為ASCII之后，我們得到了一份經過混淆處理的JavaScript：

腳本代碼大概1400多行，包含了URI組件解碼、資源獲取、cookie移除和瀏覽器會話修改等功能。

關于如何深入分析LAZARUS APT針對MAC用戶使用的惡意word文檔問題的解答就分享到這里了，希望以上內容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注億速云行業資訊頻道了解更多相關知識。