以朝鲜黑客为例看如何利用 VirusTotal 进行样本拓线

近期,Mandiant 披露了名为 UNC4034 的 APT 组织利用 WhatsApp 发起的针对性攻击。研究人员认为这次攻击行动与自从 2020 年开始的、代号为 Dream Job 的攻击行动有关,朝鲜黑客有针对性地投递恶意 ISO 文件发起攻击。

根据 Mandiant 的研究,攻击者首先通过电子邮件向受害者发送亚马逊的招聘信息,紧接着通过 WhatsApp 以招聘流程的名义发送恶意 ISO 文件。

Mandiant 披露了两个 ISO 文件的哈希值,分别名为 amazon_test.iso 与 amazon_assessment.iso,但通过哈希值在 VirusTotal 中只能找到第一个文件。

样本拓线

尝试根据通过文件名来检索第二个 ISO 文件,查询语句为 name:"amazon_assessment.iso"。发现了一个样本文件,该样本文件与 Mandiant 披露的 ISO 文件具有相同的配置信息。发现的样本应该是一个新的样本,在 readme.txt 中的配置信息如下所示:

这些 ISO 文件中都包含两个文件:

  • 一个 Windows 可执行文件,为投毒版本的 Putty

  • 一个名为 readme.txt 的文件

据此,可以检索内容中包含 readme.txt 和 *.exe 两个文件的 ISO 样本文件。为了更加准确,过滤掉超过 10MB 的样本以及 2020 年之前提交给 VirusTotal 的样本。一共有六个样本文件:

哈希值 文件名 ISO 卷名称
8cc60b628bded497b11dbc04facc7b5d7160294cbe521764df1a9ccb219bba6b amazon_test.iso AMAZON_TEST
dc20873b80f5cd3cf221ad5738f411323198fb83a608a8232504fd2567b14031 Amazon_Assessment.iso AMAZON_ASSESSMENT
3818527bc78efcece9d9bc87d77efa9450c2ba5c94f8441ea557ba29d865e7d3 SA_Assessment.iso AMAZON_ASSESSMENT
cd8e12cddfe71b89597b6621d538b63673c8a8a3bf47a0fa572961ca1280e5b5 IT_Assessment.iso AMAZON_ASSESSMENT
ccdb436a5941ba47a8b7e110021ad98ba6dc4e0296dc973429fc0c73de5e5397 Dell_SE_Assessment.iso DELL_SE_ASSESSMENT
455a7ebf67aec7b4d6cc18ed930bde491c0327ba5e24968514dd9b3449a7c374 IBM_SSA_Assessment.iso IBM_SSA_ASSESSMENT
ISO 文件元数据中的 ISO 卷名称也可以用于进行检索,查询语句为 metadata:ASSESSMENT tag:isoimage size:10mb-

不仅仅是 Putty

尽管对发现的样本文件并没有进行深入分析,但在 ISO 文件中除了投毒的 Putty 外还发现另外两个投毒的客户端工具:TightVNC Viewer 与 KiTTY。

哈希值 文件名 ISO 卷名称
8cc60b628bded497b11dbc04facc7b5d7160294cbe521764df1a9ccb219bba6b cf22964951352c62d553b228cf4d2d9efe1ccb51729418c45dc48801d36f69b4 PuTTY
dc20873b80f5cd3cf221ad5738f411323198fb83a608a8232504fd2567b14031 52ec2098ed37d4734a34baa66eb79ec21548b42b9ccb52820fca529724be9d54 PuTTY
3818527bc78efcece9d9bc87d77efa9450c2ba5c94f8441ea557ba29d865e7d3 75771b5c57bc7f0d233839a610fa7a527e40dc51b2ec8cbda91fab3b4faa977f KiTTY
cd8e12cddfe71b89597b6621d538b63673c8a8a3bf47a0fa572961ca1280e5b5 6af9af8aa0d8d4416c75e0e3f7a20dfe8af345fb5c5a82d79e004a54f1b670dc KiTTY
ccdb436a5941ba47a8b7e110021ad98ba6dc4e0296dc973429fc0c73de5e5397 14f736b7df6a35c29eaed82a47fc0a248684960aa8f2222b5ab8cdad28ead745 TightVNC Viewer
455a7ebf67aec7b4d6cc18ed930bde491c0327ba5e24968514dd9b3449a7c374 37e30dc2faaabaf93f0539ffbde032461ab63a2c242fbe6e1f60a22344c8a334 TightVNC Viewer
其中部分样本中还包含了攻击者未删除的 PDB 路径:

TightVNC 相关的样本中还包含名为 N:\2.MyDevelopment\3.Tools_Development\4.TightVNCCustomize\Munna_Customize\tightvnc\x64\Release\tvnviewer.pdb 的 PDB 路径。

在某些情况下,攻击者会在不同的攻击行动间重复使用相同的 ISO 元数据。如下所示,ISO 文件的文件名与 ISO 卷名称无关:

攻击基础设施

在所有的文件中通过静态提取了相关的 IP 地址,通过动态分析获取了通信的 IP 地址。

哈希值 readme.txt中的IP地址 沙盒中的IP地址
8cc60b628bded497b11dbc04facc7b5d7160294cbe521764df1a9ccb219bba6b 137.184.15.189
dc20873b80f5cd3cf221ad5738f411323198fb83a608a8232504fd2567b14031 143.244.186.68 44.238.74.84
3818527bc78efcece9d9bc87d77efa9450c2ba5c94f8441ea557ba29d865e7d3 147.182.237.105 3.137.98.129
cd8e12cddfe71b89597b6621d538b63673c8a8a3bf47a0fa572961ca1280e5b5 137.184.15.189 172.93.201.253
ccdb436a5941ba47a8b7e110021ad98ba6dc4e0296dc973429fc0c73de5e5397
44.238.74.84
455a7ebf67aec7b4d6cc18ed930bde491c0327ba5e24968514dd9b3449a7c374
44.238.74.84
在 VirusTotal 上也可以查询到这些 IP 地址相关的样本文件:

结论

利用 VirusTotal 可以发现安全厂商披露的攻击行动的更多样本文件。攻击者不仅假借亚马逊的名义,还利用了戴尔与 IBM 的名义进行恶意攻击。2022 年 6 月到 2022 年 9 月就发现了多个样本,这表明攻击者的攻击行为相当活跃。


点击阅读原文即可查看原始内容。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐