美国US-CERT发布朝鲜黑客组织HIDDEN COBRA网络攻击架构中涉及中国IP地址

美国US-CERT发布朝鲜黑客组织HIDDEN COBRA网络攻击架构中涉及中国IP地址

近期,美国计算机应急响应中心 US-CERT 叕发布了 DHS 和 FBI 针对朝鲜政府黑客组织HIDDEN COBRA的联合技术分析预警(TA17-318A),预警中详细披露了 HIDDEN COBRA 用于网络渗透攻击的远控工具-FALLCHILL。US-CERT 称,DHS 和 FBI 与其它美国政府机构联合分析,通过网络IP地址和相关入侵指标( IOC)共同识别出了FALLCHILL利用的网络攻击架构。经初步分析,DHS和FBI识别的FALLCHILL网络攻击架构中包含了5个注册地为中国的IP地址,以及一个.gov.cn的网站。

预警概述

FBI高度确信入侵指标文件( IOC.csv)中提及的87个IP地址为HIDDEN COBRA的网络攻击架构,HIDDEN COBRA利用这些IP地址对受害系统进行远控管理,并计划开展针对其它目标的网络攻击。DHS和FBI及时公布这些IP地址旨在希望社会实体组织加强网络防御,避免遭受朝鲜政府黑客组织的网络攻击。

预警入侵指标文件( IOC.csv)中包含的IP地址多为HIDDEN COBRA的跳转主机或感染主机,其中还包括IP地址解析、IP注册地址、隶属运营商等具体网络属性。

涉及中国的IP地址

IOC.csv中包含了5个注册地分别为郑州和北京的IP地址,以及一个www.hubeicoal-safety.gov.cn的网站,如下所示:

美国US-CERT发布朝鲜黑客组织HIDDEN COBRA网络攻击架构中涉及中国IP地址

美国US-CERT发布朝鲜黑客组织HIDDEN COBRA网络攻击架构中涉及中国IP地址

入侵指标文件

HIDDEN COBRA利用的网络攻击架构– IOC.csv

HIDDEN COBRA利用的恶意软件分析报告—MAR .pdf

FALLCHILL的攻击影响

根据第三方公司情报,HIDDEN COBRA自2016年起利用FALLCHILL开展了针对全球特定航空航天、通信、金融行业数家机构的网络入侵,FALLCHILL是一个全功能远程控制管理软件(RAT),攻击者能以多种代理方式从C2端向受害者系统发起多种形式的控制命令。攻击者利用“水坑攻击”或钓鱼邮件方式入侵受害者系统,然后通过外部工具或释放的恶意Dropper进行FALLCHILL植入,并利用其恶意软件即服务(malware-as-a-service)一体化平台实现持久驻留和其它恶意软件继续植入部署。

在对FALLCHILL的分析研判期间,美方政府机构根据公开注册信息,识别出了一些感染主机和中转主机地址的IP注册国。

技术分析

FALLCHILL是HIDDEN COBRA使用多种代理对受害者系统进行远控管理的主要C2部件,据可信的第三方报告,受害者系统和HIDDEN COBRA攻击者之间存在多种代理通信流量,如下:

美国US-CERT发布朝鲜黑客组织HIDDEN COBRA网络攻击架构中涉及中国IP地址

FALLCHILL使用伪造的TLS通信,对通信数据以密钥序列 [0d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00 03 82]进行RC4加密,FALLCHILL收集受害者系统中信息包括:

操作系统版本信息

处理器信息

系统名称

本地IP信息

独特的生成ID

MAC地址

FALLCHILL针对受控目标系统,包含以下恶意控制功能:

获取所有磁盘的类型容量信息

可创建、运行、中止某一指定进程和相关线程

搜索、读取、写入、删除和执行程序文件

获取并更改文件或目录时间戳信息

更改当前运行进程或文件

更改进程或文件的当前目录

配合主控程序对受害者系统进行痕迹清理

检测防御

针对预警中的技术分析和入侵指标文件信息,DHS和FBI督促各机构网络管理者认真核实检查,识别匹配IP地址,一有发现,务必采取相关清除措施。另外可从匹配IP的网络流量中发现HIDDEN COBRA的具体网络攻击行为。

网络行为签名和基于主机的检测规则

网络行为签名

alert tcp any any -> any any (msg:"Malicious SSL 01 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\x04\x88\x4d\x76/"; rev:1; sid:2;)
_______________________________________________________________________________________

alert tcp any any -> any any (msg:"Malicious SSL 02 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\x06\x88\x4d\x76/"; rev:1; sid:3;)
_______________________________________________________________________________________

alert tcp any any -> any any (msg:"Malicious SSL 03 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\xb2\x63\x70\x7b/"; rev:1; sid:4;)

____________________________________________________________________________________

alert tcp any any -> any any (msg:"Malicious SSL 04 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\xb0\x63\x70\x7b/"; rev:1; sid:5;)

 

YARA规则

rule rc4_stack_key_fallchill
{
meta:
    description = "rc4_stack_key"
strings:
    $stack_key = { 0d 06 09 2a ?? ?? ?? ?? 86 48 86 f7 ?? ?? ?? ?? 0d 01 01 01 ?? ?? ?? ?? 05 00 03 82 41 8b c9 41 8b d1 49 8b 40 08 48 ff c2 88 4c 02 ff ff c1 81 f9 00 01 00 00 7c eb }
condition:
    (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and $stack_key
}
rule success_fail_codes_fallchill
{
meta:
    description = "success_fail_codes"
strings:
    $s0 = { 68 7a 34 12 00 } 
    $s1 = { ba 7a 34 12 00 } 
    $f0 = { 68 5c 34 12 00 } 
    $f1 = { ba 5c 34 12 00 }
condition:
    (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and (($s0 and $f0) or ($s1 and $f1))
}

 

 

影响

感染了FALLCHILL的系统或组织机构,可能面临:

当前或长期的数据泄露

正常业务运行的影响破坏

后期系统和文件的恢复维护成本

对组织机构潜在的声誉影响

缓解

使用应用程序白名单策略

更新系统和软件补丁

保持安全防护软件处于最新状态

对系统进行权限访问控制

避免接收不明电邮

避免开启文档宏功能

*参考来源:us-cert,freebuf小编clouds编译