360网络安全研究院(360Netlab)于近日发文称,他们在10月25日发现了一个可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812),并在随后发现了它与朝鲜黑客组织“拉撒路”之间的关联。
进一步分析表明,该文件实际上是一款功能完善、行为隐蔽的模块化远控木马,且分为windows和linux两个版本。其中,Linux版本包含有6个插件模块,分别负责执行不同的任务:执行命令、文件管理、进程管理、测试网络访问、C2连接代理和网络扫描。
根据文件名和硬编码的字符串,360Netlab决定将此新型远控木马命名为“Dacls”(Win32.Dacls和Linux.Dacls),而这也是首次观察到“拉撒路”组织将Linux主机列为攻击目标。
拉撒路,由Lazarus音译而来,也被称为HIDDEN COBRA、GUARDIANS OF PEACE、ZINC或NICKEL ACADEMY,被认为是目前全球规模最大、最为活跃的黑客组织之一,且被指得到了朝鲜政府的支持。
据称,该组织自2009年以来就一直处于活跃状态,且与多起轰动一时的网络攻击事件有关,包括2014年索尼影业被黑事件、2016年孟加拉国银行网络攻击事件,以及2017年WannaCry勒索软件事件。
通过寻线追踪,360Netlab成功发现了一台托管有Win32.Dacls和Linux.Dacls的服务器。除Dacls远控木马外,这台服务器还托管有其他一些样本,如开源程序Socat(命令行工具)以及Confluence CVE-2019-3396漏洞利用脚本。
如上所述,Linux.Dacls包含有6个插件模块,分别负责执行不同的任务:执行命令、文件管理、进程管理、测试网络访问、C2连接代理和网络扫描。
初始化行为
启动后,Linux.Dacls会以daemon方式在后台运行,并通过启动参数“/pro”、Bot PID文件“/var/run/init.pid”和Bot进程名“/proc/<pid>/cmdline”,来区分不同运行环境(可能是用于Bot程序升级)。
C2协议
Linux.Dacls和C2通信主要分为三个阶段,并采用了TLS和RC4双层加密算法,保障数据通信安全。
第一阶段是建立TLS连接;第二阶段是双方协议认证过程(Malware Beaconing);第三阶段是Bot发送RC4加密后的数据。
Bash插件
Bash插件主要支持两个功能:一是接收C2服务器的下发的系统命令并执行;二是C2通过指令下发临时C2,Bot然后连接到临时C2并执行临时C2下发的系统命令。
File插件
File插件主要功能是文件管理,除了支持对文件的读/写/删除/查找操作,还可以从指定的服务器下载文件。
Process插件
Process插件的主要功能是进程管理,包括杀死指定进程、创建daemon进程、获得当前进程的PID和PPID,以及获取进程列表信息。
Test插件
Test插件的主要功能是通过连接C2指定的IP地址和端口,测试其网络连通性。
Reverse P2P插件
Reverse P2P插件实际上是一种C2连接代理(Connection Proxy),它通过下发控制命令可以将指定的C2数据完整的转发到指定IP端口。
LogSend插件
LogSend插件的主要功能有三个:一是测试连接Log服务器,二是随机扫描全网8291端口并上报给Log服务器,三是执行耗时较长的系统命令并将控制台输出结果实时上报给Log服务器。
360Netlab建议Confluence用户应及时更新补丁,并可以根据Dacls远控木马所创建的进程、文件名以及TCP网络连接特征来判断自己的系统是否已经遭到感染,然后有针对性地清理相关进程和文件。