Lazarus组织工具Volgmer后门及其加载器Scout分析

2023年 10月 11日 109.6k 0

概述

Lazarus威胁组织被称为国家支持的攻击组织,自2009年以来一直活跃。最初主要活跃在韩国,但自2016年以来,它一直在攻击韩国周边的国防工业、高科技产业和金融。世界。Lazarus组织在攻击过程中主要采用鱼叉式网络钓鱼、供应链攻击以及伪装成合法程序等方式进行攻击。

近年来,水坑攻击已被用来攻击多家公司和组织,包括国内国防公司、卫星、软件和媒体公司,最初使用的渗透方法是国内金融安全认证软件中的安全漏洞。即使在最初渗透之后,攻击者也会在横向移动过程中利用网络安全软件或企业资产管理程序中的漏洞。 Lazarus 组织不仅针对普通 PC,还针对服务器系统,将其用作恶意软件分发服务器或 C&C 服务器。

由于Lazarus威胁组织已经活跃了很长时间,因此确认了各种攻击案例,并且每个案例都使用了各种恶意软件。特别是,有许多不同类型的后门恶意软件用于在初始渗透过程后控制受感染的系统。AhnLab安全应急响应中心(ASEC)正在持续跟踪和分析Lazarus组织的攻击活动,这里我们分析了此次攻击中使用的代表性恶意软件Volgmer和Scout。

Volgmer 是一种后门恶意软件,自 2014 年以来一直被 Lazarus 威胁组织使用。Volgmer主要通过注册为服务来运行,以普通文件的伪装名称进行安装,其特点是对配置数据进行加密并存储在注册表项“HKLMSYSTEMCurrentControlSetControlWMISecurity”中。ASEC 确认,自 2014 年到 2021 年左右,Volgmer 后门已通过多种变体用于攻击,并且从 2022 年开始,攻击中使用了一种名为 Scout 而不是 Volgmer 的下载器恶意软件。Scout也仅在实际功能上有所不同,但其基本操作方法相似,下载的有效负载被推测为控制受感染系统的后门恶意软件。

图1. Scout Downloader的PDB信息

Scout从2022年左右开始被用于攻击,虽然有很多具体攻击的案例尚未得到证实,但也有初步渗透过程已被确认的案例。例如,上述利用国产金融安全认证软件安全漏洞的攻击案例中,就与其他恶意代码一起被证实。攻击目标包括国内多家国防工业、制造业、ICT、金融等领域的企业和机构,与一般Lazarus组织的活动类似。攻击者利用恶意软件控制受感染的系统,并确认了利用BYOVD(Bring Your Own Vulnerable Driver)技术(即硬件供应商的易受攻击的驱动程序模块)破坏安全产品的案例。

在本博客中,我们分析了最先发现的 Volgmer 后门的最早版本以及 2017 年左右开始的攻击中使用的较晚版本。然后,我们分析了 Scout 下载器,并介绍了用于安装它的植入恶意软件。

1. Volgmer后门分析

与Volgmer相关的最古老的记录被认为是赛门铁克于2014年发布的“Trojan.Volgmer”恶意软件分析页面。(目前无法访问)此后,Volgmer 不断被用于攻击,2017 年,美国 CISA在披露 Lazarus 组织的恶意软件时也提到了 Volgmer(目前无法访问)。根据我们的 ASD 日志,赛门铁克发布的 Volgmer 恶意软件类型至少在 2014 年至 2015 年期间就已被识别,并且直到 2016 年才在攻击中使用类似的变体。

从 2017 年开始,第一例使用 Volgmer 更新版本进行攻击的案例得到确认,这一历史记录要到 2021 年左右才能得到确认。作为参考,虽然这种类型存在一些差异,但在比较 C&C 命令例程时,可以说它与卡巴斯基 2021 年发布的伪装成 DeFi 应用的攻击中使用的后门类型相同。自 Scout 下载器于 2022 年左右出现以来,使用 Volgmer 进行攻击的案例尚未得到证实。

这里,在分析了过去Volgmer的早期版本之后,我们分析了2017年至2020年确认的Volgmer后期版本。尽管Volgmer的早期版本是一个古老的恶意软件,但它与后来的恶意软件有很多功能相似之处,因此我们将对其进行简单分析。接下来我们分析一下Volgmer的后期版本,虽然C&C命令例程有所不同,但操作流程与Volgmer过去的版本几乎相似。

1.1.  Volgmer 早期版本

1.1.1. VOLGMER滴管分析

由于 Volgmer 是一个 DLL 形式的后门恶意软件,因此需要恶意软件来安装它。Volgmer 的初始版本通过 dropper 进行确认,通过在资源区创建密码压缩的 Volgmer 并将其注册到服务来安装 dropper。该释放器还会检查参数数量、是否处于韩语语言环境、Windows 操作系统版本等信息,如果不满足条件,则会打印消息框或删除自身。自删除使用批处理文件,其特征是文件名“pdm.bat”。

加密的配置数据在执行期间被解密,包括包含配置数据的注册表项,其中包括C&C服务器地址、用于服务注册的字符串以及用于自毁的“pdm.bat”文件的内容。用于解密的 0x10 字节大小的密钥直到最近还被来自 Andariel 组织(Lazarus 组织的一个子组织)的恶意软件使用。

按键: 74 61 51 04 77 32 54 45 89 95 12 52 12 02 32 73

Volgmer的特点之一是,要创建的Volgmer DLL文件的名称、要注册的服务的名称和描述等字符串是根据特定逻辑随机生成的。通过组合解密的设置数据中存在的以下字符串来创建相应的字符串。

字符串 A: svc, mgmt, mgr, enum, app, bg, c, d, ex, f, g, h, i, k, l, m, net, o, p, q, rm, sec, ti, up, vol, win, dc, ud

字符串 B:Service, Management, Manager, Enumerator, Application, Background, Control, Desktop, Extension, Function, Group, Host, Intelligent, Key, Layer, Multimedia, Network, Operation, Portable, Quality, Remote, Security, TCP/IP, User Profile, Volume, Windows, Device, Update

例如,通过组合“String A”项目中的4个项目来创建文件名“hlrmenum.dll”,并且还通过组合“String B”项目中的4个项目来创建与服务相关的项目,如下所示。

服务名称:“[Host Layer Remote Enumerator]”

服务描述:[Host Layer Remote Enumerator]是管理Windows系统的基本服务。如果服务被停止或禁用,Windows将能够受到严重损坏。“

服务DLL路径:“C:Windowssystem32{hlrmenum}.dll”

Volgmer的dropper提取资源区中的“MYRES”项来获取Volgmer DLL文件和配置文件。文件使用 ZIP 压缩算法进行压缩,并使用以下密码进行加密。

压缩密码:“!1234567890 dghtdhtrhgfjnui$%^^&fdt”

图 2. 资源区中的密码压缩 DLL 和配置文件

在%SystemDirectory%路径中创建Volgmer DLL后,释放器将时间信息设置为与记事本(notepad.exe)文件中的时间信息相同。这种时间信息操纵(Timestamp Changes)技术是具有代表性的反取证技术之一,其目的是避免时间线分析。在攻击过程中,Lazarus组织除了使用时间信息操纵技术外,还使用了文件删除、数据隐藏等各种反取证技术,这些技术直到最近仍然没有改变。[12]

解压缩的配置文件使用与解密配置数据相同的算法进行加密并写入注册表项。此数据随后由 Volgmer 读取、解密和使用,其中包括 C&C 服务器的地址。完成到目前为止的过程后,使用创建的服务配置数据在服务中注册 Volgmer 并运行它。

注册表项 – 1 : HKLMSYSTEMCurrentControlSetControlWMISecurity/125463f3-2a9c-bdf0-d890-5a98b08d8898

注册表项 – 2:HKLMSYSTEMCurrentControlSetControlWMISecurity/f0012345-2a9c-bdf8-345d-345d67b542a1

1.1.2. VOLGMER后门分析

Volgmer 作为服务运行,解密上述注册表值并获取配置数据。配置数据由签名字符串“cgi_config”、ID和C&C服务器地址组成,如下所示。作为参考,dropper 创建的 ID 值是 NULL 数据,但 Volgmer 随后使用受感染系统的硬件信息创建了 ID 值。

表1. 设定数据

Volgmer 获取配置数据中存在的 C&C 服务器列表之一并连接到 C&C 服务器。当发送 HTTP 数据包时,字符串会随机组合并生成,类似于创建服务和文件名时。HTTP 请求方法选择“GET”、“POST”和“HEAD”之一,用户代理字符串也选择八个之一。Volgmer 的特征之一是在用户代理字符串中识别出拼写错误“Mozillar”而不是“Mozilla”。一旦完成到此为止的过程,就会传输随机选择的 HTTP 数据包,并使用 RIPEMD-160 哈希执行与 C&C 服务器的验证过程。

图 3. 用于创建 HTTP 数据包的字符串

一旦与C&C服务器的验证完成,受感染系统的信息将被传输两次。第一个是当前操作系统是否为虚拟机、当前运行的安全程序、已安装的软件等信息。

表 2. 传输到 C&C 服务器的数据 – 1

接下来,计算机名称、网络信息、硬件信息、语言、安装的防病毒软件、运行的服务等各种信息被收集并传输到C&C服务器。作为参考,通过当前侦听端口检查正在运行的服务,目标包括 FTP、SSH、DNS、HTTP、SMB、RDP、MS-SQL 和 VNC。

表 3. 传输到 C&C 服务器的数据 – 2

然后Volgmer可以接收来自C&C服务器的命令并执行文件操作、命令执行和反向shell等功能。

表 4. C&C 命令

Volgmer 的早期版本也存在变体。C&C命令例程相同,但主要区别在于配置数据中使用的签名字符串是“config_reg”而不是“cgi_config”,并且存储配置数据的注册表项已更改为以下值。

图 4. 更改后的签名字符串

注册表项 – 1 : HKLMSYSTEMCurrentControlSetControlWMISecurity/2d54931A-47A9-b749-8e23-311921741dcd

注册表项 – 2:HKLMSYSTEMCurrentControlSetControlWMISecurity/c72a93f5-47e6-4a2a-b13e-6AFE0479cb01

1.2. Volgmer 后期版本

自2017年起,使用了新型Volgmer。虽然初始类型和C&C命令例程之间存在差异,但除了在注册表项“HKLMSYSTEMCurrentControlSetControlWMISecurity”中加密和存储配置数据的代表性功能之外,还有各种共同点。例如,由于它是服务DLL类型,因此释放器注册为服务并运行,或者随机组合特定字符串以生成Volgmer DLL的文件名或注册服务时使用的字符串。

这里介绍的 Volgmer 的最新版本具有与Volgmer 2021 年发布的报告中相同的后门和 C&C 命令例程。[13]由于Lazarus组织使用多种后门的性质,推测主要用于国内攻击的后门被修改后用于其他攻击。在这里,我们分析了最新版本的 Volgmer 后门 DLL,推测是安装它的 dropper 的恶意软件将在稍后的 Scout 分析部分介绍。

1.2.1. VOLGMER后门分析

更高版本的 Volgmer 解密存储在特定注册表项中的配置数据以获取 C&C 地址。正如我们稍后将介绍的,Dropper 恶意软件在创建 Volgmer 后门时会创建特定字符串的随机组合,并将创建的文件名的前 4 个字母的十六进制值设置为注册表值来存储配置数据。因此,在执行过程中,Volgmer 通过引用用户文件名的前 4 个字母来读取以下注册表值。

注册表项:HKLMSYSTEMCurrentControlSetControlWMISecurity / [文件名前 4 个字母]-5903-ed41-902f-e93a29dafef5

使用RC4算法对读取的数据进行解密。Volgmer 的所有后续版本都使用 RC4 算法,但根据解密方法大致分为两种类型。一种是使用直接实现的 RC4 算法的类型,另一种是使用 Crypto API 获取 SHA-1 哈希值,然后使用该值执行 RC4 解密的类型。直接实现RC4算法的方法使用4字节密钥进行解密,使用Crypto API的例程使用4字节密钥获取SHA-1哈希值并将其用作RC4密钥。作为参考,SHA-1值的前0x10大小用作RC4算法的密钥。例如,值“DE A7 00 00”的SHA-1哈希值是“8f919e6d8970faede0b10cfd5f82da53a83ca34d”,但是“8766fe8380b144907efa286a814c22” 41”是RC4.用作键值。

Lazarus组织工具Volgmer后门及其加载器Scout分析-1

图 5. 使用 SHA-1 哈希和 RC4 算法的解密例程

RC4密钥(自己实现):E2 28 00 00
RC4 密钥(加密 API):DE A7 00 00

Volgmer 选择配置数据中存在的 C&C 服务器地址之一并尝试连接。后续版本的Volgmer和Scout下载器(稍后将讨论)使用HTTP协议与C&C服务器通信,所有确认的C&C地址均为https地址。POST方法在第一次连接C&C服务器或者接收命令时使用,根据时间的不同使用不同的参数。2020 年左右的最新 Volgmer 报告使用了与Volgmer 2021 年报告类似的参数。请注意,当前博客中提到的时期和类型仅指已确认的攻击案例,可能会根据实际未确认的案例而有所不同。

表 5. 发送至 C&C 服务器的 HTTP 请求格式

图 6. C&C 服务器身份验证过程中使用的数据包

表 6. 因子参数

在与C&C服务器的第一次通信中,使用消息ID“60D49D98”,并将C&C服务器的地址进行Base64加密并作为数据传输。之后,为了接收命令,值 0x60D49D94 与消息 ID“60D49D99”一起传输。0x60D49D94值不仅用在请求中,也用在响应中,因为Volgmer验证​​与C&C服务器通信的方式是检查解密后的响应值是否为0x60D49D94。

表 7. 消息 ID 类型

初次认证时,采用Base64算法进行数据加密,之后采用RC4算法进行加解密。Volgmer可以通过直接实现RC4算法来使用,也有使用Crypto API的类型,但每种类型的特点是使用不同的RC4密钥。

RC4密钥(直接实施):8D 52 00 00
RC4 密钥(加密 API):A3 D5 00 00

Volgmer 提供了控制受感染系统的功能,这与常见的后门恶意软件类似。以下是针对特定 Volgmer 后门的命令列表,对于归类为更高版本的 Volgmer 类型,大多数命令是相同的。

表 8. 命令列表

它的特别之处在于,如上所述,它支持 Lazarus 组织经常使用的时间信息操作技术和文件删除技术作为命令。时间信息操作命令将从C&C服务器接收到的特定路径中的文件的时间信息改变为也接收到的另一路径中的文件的时间信息。文件删除命令不是简单地删除文件,而是使用“0x5F 00 00 00 00…” ” 这是一种覆盖和删除该值的方法,使得将来无法恢复。

图 7. 删除前覆盖的文件

PebbleDash 最近被其他攻击组织使用,但基本上是已知被 Lazarus 组织使用的后门恶意软件。PebbleDash 支持在创建新驱动器或会话时终止备用例程并激活与 C&C 服务器的通信的功能。[14]这是因为PebbleDash在与C&C服务器的通信过程中等待时间较长,难以实时响应受感染系统的变化。该功能在 Lazarus 组织的其他后门恶意软件中也得到了证实,Volgmer 就是一个典型例子。另外,SentinelOne的报告中还证实了该功能受到OpenCarrot后门支持的案例。[15]

作为参考,在Volgmer定期删除的文件中,有一个“BIT*.tmp”文件,推测该文件的目的是删除执行0x60D49DAF命令时创建的CAB文件,该文件负责文件传输功能。但0x60D49DB7命令中删除的名为“CMb*.ap”的文件无法仅由Volgmer确认,这是目前分析的主题。

2.Scout下载器分析

Volgmer 从 2014 年开始被用于攻击,直到 2021 年左右。从2022年开始,出现类似于Volgmer的下载器型恶意软件,但不使用后门功能,而是从外部下载另一个恶意软件并在内存中执行。下载的payload虽然不安全,但其特点是在Volgmer活动期结束后得到确认,与C&C服务器的通信方式和配置数据加载方式相同,并且有创建历史通过类似的滴管。

该恶意软件大致分为两类:一类是2022年上半年集中识别的类型,一类是2022年下半年至2023年分布的类型。第二种相比第一种增加了一些例程,并且如上面的PDB信息中提到的,指定了关键字“Scout”和v2.x版本,因此它是第一种中分发的Scout的改进版本2022年一半。预计 因此,这里将2022年上半年分布的类型分类为Scout v1,将2022年下半年至2023年确认的类型分类为Scout v2。请注意,当前博客中提到的时期和类型仅指已确认的攻击案例,可能会根据实际未确认的案例而有所不同。

Windows 环境中的大多数恶意代码都是使用字符用户界面 (CUI) 创建的,以便在用户不知情的情况下在后台运行。Scout Downloader 的特点是它通过创建类似于图形用户界面(GUI)程序的窗口来进行操作。当然,通过将窗口大小设置为0,实际上用户是察觉不到的,推测这是创建者将恶意代码伪装成正常程序的目的。

图 8. 创建名为“Windows”的窗口的例程

与 Volgmer 后门将配置数据保存在注册表项中不同,Scout Downloader 还有一种类型,配置数据存在于文件末尾的 Overlay 区域中。在这种情况下,Scout 使用作为参数接收的字符串作为解密密钥。

图 9. 设置 Overlay 中现有的数据

在这里,我们分析 Scout 下载器并处理首先安装 Scout 的植入恶意软件。该植入程序在文件后面的 Overaly 区域中具有使用 RC4 算法加密的实际恶意代码和注册表值,并使用作为参数接收的字符串作为 RC4 密钥对其进行解密。虽然争论没有得到证实,但通过公司的 ASD 日志确认了创建 Scout 的日志。

图 10. 创建 Scout 的 Dropper 恶意软件

作为参考,查看 2021 年左右发现的同类型 dropper 恶意软件,有一个例程设置 Volgmer 后门使用的注册表项,用于加密注册表值的 RC4 密钥也是相同的。通过此,我们可以看到攻击者在 2021 年之前安装了 Volgmer 后门,并从 2022 年开始使用相同的 dropper 安装了 Scout 下载器。

2.1.  Dropper (Volgmer, Scout)

Dropper恶意软件根据其创建的恶意软件分为Volgmer dropper和Scout dropper,唯一的区别是使用配置数据的注册表项和加密配置数据的RC4密钥,实际套路是一样的。相反,根据安装恶意软件的方法分为注入器类型和服务注册类型。

注射器类型 Dropper以随机方式生成文件名,类似于早期版本的 Volgmer  Dropper,它生成一个由两到五个字母组成的随机字符串,后跟“svc”、“mgr”或“mgmt”。字符串之一是随机选择并添加的。如果创建的文件名为“bnsvc.dll”,则将前四个字母的十六进制值设置为保存配置数据的注册表值。例如,“bnsv”是十六进制值“62 6E 73 76”。在这种情况下,将存储 Volgmer 和 Scout 配置数据的注册表值如下。

Volgmer:HKLMSYSTEMCurrentControlSetControlWMISecurity /“626e7376-5903-ed41-902f-e93a29dafef5”
Scout:HKLMSYSTEMCurrentControlSetControlWMISecurity /“626e7376-2790-10f2-dd2a-d92f482d094f”

之后,将作为参数接收到的字符串作为 RC4 密钥来解密加密的 DLL,即 Volgmer 或 Scout,添加到文件后面的覆盖区域,并使用上面创建的名称在 %SystemDirectory% 路径中创建它。包含 C&C 地址的配置数据也会被解密并存储在上面创建的注册表值中。在%SystemDirectory%路径中创建的恶意代码将文件时间信息更改为计算器(即calc.exe)的文件时间信息,因为文件时间信息设置为最新。

目前还不清楚完成该过程后是否会正常运行,但在安全包的注册表设置中注册该服务并注入在 lsass.exe 进程中创建的 DLL。

安全包注册表项:HKLMSYSTEMCurrentControlSetControlLsa/Security Packages

从名称创建例程开始,服务注册类型有所不同,首先从以下注册表项中获取netsvcs服务组,然后在“HKLMSYSTEMCurrentControlSetServices”项中搜索各个服务,选择需要的服务目前尚未注册。请执行。

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvchost/netsvcs

如果选择的服务是“LogonHours”,则将其注册到netsvcs服务中,并在%SystemDirectory%路径中创建服务DLL,名称为“LogonHourss.dll”并附加“s”。

图 11. 服务注册例程

2.2. Scout 下载器分析

2.2.1. 侦察兵下载器 V1

与 Volgmer 类似,Scout 根据文件名搜索存储加密配置数据的注册表值。使用的加密算法是RC4,所有确认的Scouts都使用Crypto API解密配置数据。

注册表项:HKLMSYSTEMCurrentControlSetControlWMISecurity / [文件名前 4 个字母]-2790-10f2-dd2a-d92f482d094f
RC4 密钥(加密 API):F9 A3 DE 48

解密配置数据后,如上所述创建一个名为“Windows”的窗口,并在注册的程序中实现实际的例程。Scout的特点是基于Windows消息来实现各个功能。例如,最初使用SendMessageW() API发送0x5450消息,该消息分支到0x5451消息,0x5451消息连接到C&C服务器,并根据身份验证是否成功进行分支划分。

图 12. Windows 基于消息的例程

表 9. 每条消息的功能 – Scout v1

与 Volgmer 不同,早期的 Scout 有一个参数,并且使用“param”字符串。另外,由于它是下载程序,因此使用的消息 ID 很简单:“184D0382”和“0E8AFD28”。在初始认证过程中,字符串“cqce”被加密传输,为了成功验证C&C服务器,接收到的数据必须是“1111”字符串。

表 10. 发送至 C&C 服务器的 HTTP 请求格式

图 13. C&C 服务器身份验证过程中使用的数据包

用于与C&C服务器通信的RC4密钥使用0x20字节的密钥大小,而不是解密配置数据时使用的4字节密钥值。在下载过程中,首先接收到要下载的payload的大小,此时使用了一个大小为0x20字节的RC4密钥,接下来,当下载该大小的加密payload时,会使用一个NULL数据值0x20 字节的大小用作 RC4 密钥。

RC4 密钥(加密 API):54 A6 BA C3 13 98 DB 1A 62 45 23 12 A8 83 71 82 4E 74 D2 38 00 00 00 00 00 00 00 00 00 00 00 00

使用 RC4 密钥下载并解密的有效负载在检查“MZ”签名后在内存中执行。

2.2.2. 侦察下载器 V2

从2022年下半年开始,已确认与现有类型相比略有增加的例程,但实际功能是相同的。其中,有不少恶意代码保留了PDB信息,这表明攻击者将该恶意代码命名为Scout。

Y:DevelopmentRTWindowsScoutScout v2.1EngineEnginex64PenetratorEngine.pdb
Y:DevelopmentRTWindowsScoutScout v2.1EngineEnginex64LsassEngine.pdb
Y:DevelopmentRTWindowsScoutScout v2.1EngineEnginex64NetsvcEngine.pdb
Z:DevelopmentRTWindowsScoutScout v2.2EngineEnginex64NetsvcEngine.pdb
Z:DevelopmentRTWindowsScoutScout v2.3EngineEnginex64LsassEngine.pdb

与现有的 Scout 相比,Scout v2.x 版本支持更多命令或消息。现有的 Scout 的 Windows 消息显示出简单的流程,但在 v2.x 版本中,消息是从 C&C 服务器下载并用作命令。因此,除了下载附加有效负载的能力之外,还可以执行改变配置数据的命令。此外,在以前的版本中,“cqce”字符串被加密并发送到C&C服务器。在v2.x版本中,最初传输的是“bqce”字符串,但是根据从C&C服务器接收到的消息命令,也可以传输“fqce”、“eqce”、“dqce”和“cqce”值。

表 11. 每条消息的功能 – Scout v2

图 14. 添加的窗口消息

与过去的版本相比,直到版本 v2.2 为止,与 C&C 服务器的通信方法使用与现有类型相同的“param”参数。从v2.3开始,使用“jsessionid”作为参数,并且RC4密钥值也发生了变化。

表 12. 发送至 C&C 服务器的 HTTP 请求格式

RC4 密钥(param):54 A8 BA C3 E3 98 DB 1A 6D 45 23 12 A8 83 71 82 4E 74 D2 38 00 00 00 00 00 00 00 00 00 00 00 00
RC4 密钥 (jsessionid) : 73 D3 FE CC 23 AA 74 BA 53 47 88 32 73 11 19 AC FF D3 14 08 00 00 00 00 00 00 00 00 00 00 00 00

三、结论

Lazarus 组织是全球最具威胁和最活跃的攻击组织之一,该组织使用各种攻击媒介,包括鱼叉式网络钓鱼和供应链攻击。近期,国内金融安全认证软件的安全漏洞在初期渗透过程中被利用,网络安全软件或企业资产管理程序的漏洞在横向移动过程中也被利用。

企业安全人员必须通过攻击面管理来识别可能暴露给攻击者的资产,并持续管理最新的安全补丁。用户应特别小心来自未知来源的电子邮件附件或从网页下载的可执行文件。此外,您还必须小心,提前将操作系统、浏览器等程序的最新补丁和V3更新到最新版本,以防止此类恶意软件的感染。

IOC

File diagnosis

– Backdoor/Win.Lazardoor.C5233133 (2022.09.07.00)
– Backdoor/Win32.Agent.C3351518 (2019.07.25.00)
– Backdoor/Win32.Agent.R283184 (2019.07.25.00)
– Backdoor/Win64.Agent.C3371791 (2019.08.08.03)
– Data/BIN.Encoded (2022.10.05.00)
– Data/BIN.Encoded (2023.03.08.00)
– Data/BIN.EncPe (2022.09.07.00)
– Dropper/Win.Agent.C5499468 (2023.10.02.00)
– Dropper/Win32.Agent.C3371843 (2019.08.08.03)
– Dropper/Win64.Agent.C3371802 (2019.08.08.03)
– Malware/Win64.Generic.C4065063 (2020.04.16.07)
– Trojan/Win.Lazardoor.C4979367 (2022.02.24.02)
– Trojan/Win.Lazardoor.C4979368 (2022.02.24.03)
– Trojan/Win.Lazardoor.C5037872 (2022.03.31.00)
– Trojan/Win.Lazardoor.R474265 (2022.02.24.03)
– Trojan/Win.Lazardoor.R482731 (2022.04.07.01)
– Trojan/Win.Lazardoor.R495643 (2022.06.04.00)
– Trojan/Win.Lazardoor.R500179 (2022.06.24.00)
– Trojan/Win.LazarLoader.C5194304 (2022.07.06.01)
– Trojan/Win.LazarLoader.C5196326 (2022.07.06.03)
– Trojan/Win.LazarLoader.C5196363 (2022.07.06.04)
– Trojan/Win.LazarLoader.C5196414 (2022.07.07.00)
– Trojan/Win.LazarLoader.C5201772 (2022.07.11.03)
– Trojan/Win.LazarLoader.C5210732 (2022.07.19.00)
– Trojan/Win.LazarLoader.C5211408 (2022.07.20.01)
– Trojan/Win.LazarLoader.C5233120 (2022.09.07.00)
– Trojan/Win.LazarLoader.R480766 (2022.03.31.00)
– Trojan/Win.LazarLoader.R491208 (2022.05.10.02)
– Trojan/Win.LazarLoader.R500065 (2022.06.22.03)
– Trojan/Win.LazarLoader.R501218 (2022.06.28.03)
– Trojan/Win.Scout.R536659 (2022.11.30.00)
– Trojan/Win32.Agent.C876729 (2015.06.03.00)
– Trojan/Win32.Agent.R128643 (2014.12.17.00)
– Trojan/Win32.Akdoor.C3450548 (2019.08.29.04)
– Trojan/Win32.Backdoor.R174379 (2016.02.16.05)
– Trojan/Win32.Dllbot.C715400 (2015.02.12.04)
– Trojan/Win32.Ghost.C695717 (2015.01.27.05)
– Trojan/Win64.Agent.R274329 (2019.06.04.03)
– Trojan/Win64.Akdoor.R289258 (2019.08.29.00)

行为诊断

– Execution/MDP.Behavior.M10661

MD5

– 1ecd83ee7e4cfc8fed7ceb998e75b996:Volgmer Dropper 早期版本类型 1
– 35f9cfe5110471a82e330d904c97466a:Volgmer 后门早期版本类型 1 (civolmgmt.dll)
– 5dd1ccc8fb2a5615bf5656721 3 39efed:Volgmer 后门初始版本类型 1 (divolenum.dll) – 9a5fa5c5f3915b2297a1c379be9979f0:Volgmer 后门初始版本类型 1 (fqrmsvc .dll)
– a545f548b09fdf61405f5cc07e4a7fa1 : Volgmer 后门初始版本类型 1
– eb9db98914207815d763e2e5cfbe96b9 : Volgmer 后门初始版本类型 1 (bgmsecenum.dll)
– fe32303e69b201f9934248 cc0 6b32ef8:Volgmer 后门早期版本类型 1 (xkupsvc.dll) – 85b6e4ea8707149b48e41454cbd0d5ad:VolgmerDropper 早期版本类型 2 –64965a88e819fb93dbabafc4e3ad7b6c:Volgmer 后门初始版本类型 2 (idefsrv.dll)
– 6da7d8aec65436e1350f1c0dfc4016b7:Volgmer 后门早期版本类型 2
– e3d03829cbec1a8cca56c6ae730ba9a8:Volgmer 后门早期版本类型 2 (hssvc.dll)
– 0171c4a0a53188fe6f9c3dfcc5722 be 6:最新版本的 Volgmer 后门 (sbiimgr.dll) – 17eacf4b4ae2ca4b07672dcc12e4d66d:最新版本的 Volgmer 后门 (eqpkamgmt.dll) –1e2acecce7b5e9045b07d65e9e8afe1f:Volgmer 后门 (Irmons.dll) 的最新版本– 226cc1f17c4625837b37b5976acbd68e:Volgmer 后门 (Exwtr.dll) 的最新版本
– 3e6119ebfacd1d88acbd2ca460c70 b49:Volgmer 后门最新版本 (helpsvcs.dll) – 4753679cef 5162000233d69330208420:Volgmer 后门最新版本 (olesvc.dll) bin)
– 5473fa2c5823fbab2b94e8d5c44bc7b4 : Volgmer 后门最新版本 (NWCWorkstations.dll)
– 570a4253ae80ee8c2b6b23386e273f3a:Volgmer 后门 (Nlas.dll) 的最新版本
– 5c87373eef090bed525b80aef398ee8a:Volgmer 后门的最新版本
– 693afaedf740492df2a09dfcc08a3dff:最新版本Volgmer 后门 (ddmgr.dll) – 6e21cc6669ada41e48b369b64ec5f37b:Volgmer 后门的最新版本 (ntmgr.dll) –72756e6ebb8274d9352d8d1e7e505906:最新版本的 Volgmer 后门 (fhcmgr.dll)
– 8b3ec4b9c7ad20af418e89ca6066a3ad :最新版本的 Volgmer 后门 (xbmgr.dll)
– 947124467bd04b7624d9b31e02b5ee7f :最新版本的 Volgmer 后门 (hgiezmgmt.dll)
– 9a87 f19609f2 8d7f7d76f9759864bd08:Volgmer 后门的最新版本 – b1225fa644eebafba07f0f5e404bd4fd:最新版本Volgmer 后门(lrmons.dll ) –cf2ff5b59c638a06d8b81159b9a435ea : Volgmer 后门最新版本 (tzmgr.dll)
– d52b5d8c20964333f79ff1bce3385d0b:Volgmer 后门的最新版本 (bqmgr.dll)
– e273803ae6724a714b970dd86ca1acd0:Volgmer 后门的最新版本 (fnsysN.dll)
– ea5d322648ff108b1c9cbdd1ef4a5 959:最新版本的 Volgmer 后门 (ntmgr.dll) – 44fa8daa347ef5dd107bf123b4688797:最新版本的 VolgmerDropper (ExwtrSvc .exe ) –7f953c6988d829c9c4ac2002572c9055 : Volgmer Dropper 最新版本 (ExwtrSvc.exe)
– c2ab2a8ffdc18c24080e889a634ef279 : Volgmer Dropper 最新版本 (fmSysM.exe)
– 05bb1d8b7e62f4305 d97042f07c64679:Scout 下载器 v1 (Comms.db)
– 0b78347ac f76d4bb66212bf9a41b9fb9:Scout 下载器 v1 (gpklmgmt.dll) 0ed86587124f08325cd8f3d3d2556292:Scout 下载器 v1 (bnsvc.dll)
– 35943aa640e122fcb127b2bfd6e29816:Scout 下载器 v1 (helpsvcs.dll)
– 394b05394ebb9b239a063a6b5839edb9:Scout 下载器 v1 (oxmgmt.dll)
– 5496adcd712d4378950ba62ad4c2423b:Scout 下载器 v1 (gokimgmt.dll)
– 64cac69ab1e9108e0035f9ce38b4 7 db7:Scout 下载器 v1 (bnsvc.dll) – 695e5b8dc9615ec603fe2cbb7326a50f:Scout 下载器 v1 (helpsvcs.dll) –c07e04d388fb394ac190aace51c03c33:Scout 下载器v1 (helpsvcs.dll)
– c41eb1ea59fab31147c5b107cc1c5a51:Scout 下载器 v1 (tfbgmmgmt.dll)
– cc5a8a15d5808002e62d5daf2d4f31b3:Scout 下载器 v1 (Comms.bin)
– 0b746394c9d23654 57 7f4c0f2a39a543:Scout 下载器 v2 (mib.cfg)
– 225cdc9b452b6d5a3f7616dcc9333d7d:Scout 下载器 v2 (Keys.dat) )
– 43f218d3a4b2199468b00a0b43f51c79 : Scout 下载器 v2 (wdsvc.dll)
– 4b1f1db4f169ca6b57015b313d665045:Scout 下载器 v2 (olesvc.bin)
– 80d34f9ca10b0e8b49c02139e4615b7a:Scout 下载器 v2 (NWCWorkstations.dll)
– 855e26d530e69ddc77bb19561 f b19d90 : Scout 下载器 v2 (mib.bin) – 9ec3a4257564658f651896abc608680e : Scout 下载器 v2 (SRServices.dll) –a76624578ed42cceba81c76660977562 : Scout 下载器v2 (eppagent.bin)
– b517e7ad07d1182feb4b8f61549ff233 : Scout 下载器 v2 (usoshared.bin)
– fa868a38ceeb46ee9cf8bd441a67ae27 : Scout 下载器 v2 (ose.bin)
– 1f1a3fe0a31bd0b17bc63967de0 ccc29:Scout 下载器 v2 – 编码(configmanager.tlb)
– fa3e49c877a95f37fd25dbd62f9e274c:Scout 下载器 v2 – 编码(事件.dat)
– 202a7eec39951e1c0b1c9d0a2e24a4c4:加载程序 – Scout 下载程序 v2 (helpsvcs.dll)
– b457e8e9d92a1b31a4e2197037711783:加载程序 – Scout 下载程序 v2 (wpnsvc.dll)
– 8543667917a31800 1d0e331aeae3fb9b:配置 – Scout 下载器 v2 (C_68656c.NLS) – c16a6178a4910c6f3263a01929f306b9:Scout下载器 v2 (C_77706e.NLS) )
– 1c89fb4aee20020bfd75713264df97cd : Dropper – Scout 下载器
– 76f02ab112b8e077544d0c0a6e0c428a : Dropper – Scout 下载器 (wAgent.dat)
– 7ba37d662f19bef27c3da2fd2cee0e3 a : Dropper – Scout 下载器 (wAgent.dat) – 7f0e773397808b4328ad11d6948a683f : Dropper – Scout 下载器 (Comms.bin) – bf5d815597018fe7f3dfb52d4f7e1f65: Dropper – Scout下载器

转载来源:https://asec.ahnlab.com/ko/57427/

图片来源网络侵权可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论