【原创】恶意代码分析:索尼被黑和朝中社水坑攻击可能是同一组织所为
本帖最后由 hellotong88 于 2015-4-22 09:25 编辑背景简介
去年年末最重要的黑客入侵事件恐怕要数索尼影视被黑了,如同电影大片,一夜之间公司所有电脑全部被替换成了一张威胁图片。当时对这件事的幕后黑手是众说纷纭,绝大部分人相信是朝鲜黑客所为,因为索尼影视欲上映一部疑似有损金正恩形象的电影——《刺杀金正恩》,朝鲜不满,所以才发动攻击以制止电影的上映。后来证明朝鲜是被冤枉的,因为有个俄罗斯小伙自报家门称是索尼影视的幕后攻击者。就在索尼影视事件发生不久,朝鲜中央通讯社网站也遭到了黑客攻击。这是朝鲜的一个官方新闻网站,经调查发现其网站代码中暗藏恶意代码,会对那些想关注朝鲜领导人活动的访客发动“水坑式”攻击。究竟真凶是谁呢?至今还没有统一的说法……这又说明了什么呢?索尼影视被黑和朝中社水坑式攻击有关系吗?且听我细细道来……
“朝中社水坑攻击”样本分析我们首先来看一下“朝中社水坑攻击”事件的样本。Md5:2f7b96b196a1ebd7b4ab4a6e131aac58这个样本其实是个病毒,我虚拟机里的2个工具就被感染了。http://image.3001.net/images/20150413/14289401417465.png!small上图中体积比较大的文件就是被感染的,体积比较小的就是原来正常的程序。因此我怀疑不是“朝中社水坑攻击”,而是朝中社被病毒感染了……大家说呢?样本运行后,会生成一个dll“wtime32.dll”,这是该病毒想要传播的“有效荷载”。我们暂时先忽略感染的过程,直接分析这个dll,它有3个控制端,解密后如图:http://image.3001.net/images/20150413/14289401827856.png!small恶意代码通过dns协议与这3个控制端交互,请求控制端的指令:http://image.3001.net/images/20150413/14289402209471.png!small通信数据是通过dns的“CNAME”请求发出的:http://image.3001.net/images/20150413/14289402612750.png!small其中字符串“6Ihq6UpmpuYH6MiGR6ZHLAYGBqjG58hniObopg.g.r”是加密的上线信息。“6Ihq6UpmpuYH6MiGR6ZHLAYGBqjG58hniObopg”的加密方式是变种的base64,明文是“计算机名_网卡mac地址”组合。http://image.3001.net/images/20150413/1428940308514.png!small“.g.r”是系统版本,解密:g-f=1是次版本号,r-m=5是主版本号,5.1代表xp系统。http://image.3001.net/images/20150413/14289403501494.png!small控制指令系统如下:http://image.3001.net/images/20150413/14289403852783.png!small当通过dns获得的指令是“ts”的时候,进入另外一套控制指令系统,新控制端ip是通过“dns隧道”获取到的:http://image.3001.net/images/20150413/14289404247038.png!small与新的控制端连接后,控制端与被控端之间发送特定dword值进行认证(Handshake):http://image.3001.net/images/20150413/14289404677976.png!small然后从控制端接收通信加密的密钥:http://image.3001.net/images/20150413/14289405225874.png!small通信数据加密方式(add-xor-ror):http://image.3001.net/images/20150413/14289405536569.png!small新的控制指令系统如下:http://image.3001.net/images/20150413/14289405965876.png!small咦?这套控制指令好熟悉的样子??这个跟索尼被黑的某个样本及其相似。索尼被黑事件分析看“us-cert”关于“索尼被黑”的一篇报告:https://www.us-cert.gov/ncas/alerts/TA14-353A你也许会说,报告自始至终都没提“sony”,凭什么认为它是关于“索尼被黑”的?这个是有内幕消息,非常的确定以及肯定。当然我也是有证据的,比如报告中这个样本“E904BF93403C0FB08B9683A9E858C73E”是有sony数字签名的:http://image.3001.net/images/20150413/14289406477856.png!smallhttp://image.3001.net/images/20150413/14289406614089.png!small从这篇报告里我们找到这样一条yara规则:http://image.3001.net/images/20150413/1428940689529.png!small是不是跟“朝中社水坑攻击”的样本很相似的说!我们对比一下,“索尼”样本的控制指令完全就是“朝中社”样本的子集。“朝中社”样本支持的控制指令:_prc、_quit、_dir、_del、_exe、_get、_got、_put、_dll、_dlu、_cap、_inf、_cmd“索尼”样本支持的控制指令:_quit、_exe、_put、_got、_get、_del、_dir爆料“朝中社水坑攻击”是2014年底的事件,但是这个病毒2012年就出现了:http://www.threatexpert.com/report.aspx?md5=450d64e95187117dfbe507681f2cbdc2http://image.3001.net/images/20150413/14289407459136.png!small“threatexpert”报告中释放的“wtime32.dll”与“朝中社”样本释放的md5一致:http://image.3001.net/images/20150413/14289407917734.png!small思考
“朝中社水坑攻击”是不是朝鲜干的?上文中提到过:也有可能朝中社感染了病毒。“索尼被黑”是不是朝鲜干的?美国认定是朝鲜干的,但也没有拿出令人信服的证据。美国这么说估计也就是政治上的需要,制裁、打压朝鲜的借口罢了。那到底是不是朝鲜干的?Who knows!http://image.3001.net/images/20150414/1429005810138.jpg!small
好叼的样子,不过一点都没看懂 ablack 发表于 2015-4-20 15:27
好叼的样子,不过一点都没看懂
你签名太逗了,我还以为真的呢
膜拜楼主,敢刺杀亚洲州长,{:17_1068:} 分析条条框框 不错
页:
[1]