Browsing: RAT攻击Linux平台

  背景介绍 2019年10月25号,360Netlab未知威胁检测系统发现一个可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812)。一开始,我们以为这是在我们发现的Unknown Botnet中比较平凡的一个,并且在那时候VirusTotal上有2款杀毒引擎能够识别。当我们关联分析它的相关样本特征和IoC时,我们发现这个案例跟Lazarus Group有关,并决定深入分析它。 目前,业界也从未公开过关于Lazarus Group针对Linux平台的攻击样本和案例。通过详细的分析,我们确定这是一款功能完善,行为隐蔽并适用于Windows和Linux平台的RAT程序,并且其幕后攻击者疑似Lazarus Group。 事实上,这款远程控制软件相关样本早在2019年5月份就已经出现,目前在VirusTotal上显示被26款杀毒软件厂商识别为泛型的恶意软件,但它还是不为人所知,我们也没有找到相关分析报告。所以,我们会详细披露它的一些技术特征,并根据它的文件名和硬编码字符串特征将它命名为Dacls。   Dacls 概览 Dacls是一款新型的远程控制软件,包括Windows和Linux版本并共用C2协议,我们将它们分别命名为Win32.Dacls和Linux.Dacls。它的功能模块化,C2协议使用TLS和RC4双层加密,配置文件使用AES加密并支持C2指令动态更新。其中Win32.Dacls的插件模块是通过远程URL动态加载,而Linux版本的插件是直接编译在Bot程序里。我们已经确认在Linux.Dacls中包含6个插件模块:执行命令,文件管理,进程管理,测试网络访问,C2连接代理,网络扫描。 如何关联上 Lazarus Group ⾸先,我们通过样本80c0efb9e129f7f9b05a783df6959812中的硬编码字符串特征 c_2910.cls和k_3872.cls,在VirusTotal上找到了5个样本,我们从这些样本代码和相同的C2指令码上可以确认它们是同⼀套RAT程序,并且分别适⽤于Windows和Linux平台。 其中⼀个Win32.Dacls样本6de65fc57a4428ad7e262e980a7f6cc7,它的下载地址为https://thevagabondsatchel.com/wp-content/uploads/2019/03/wm64.avi,在VirusTotal社区⽤户@raeezabdulla留⾔中将它标记为Lazarus Group,并引⽤了⼀篇报告《CES Themed…