LODEINFOマルウェアとは 什么是 LODEINFO 恶意软件?
LODEINFOは2019年12月以降に観測された標的型攻撃メールを起点としたキャンペーンで使用されているファイルレスマルウェアです。標的型攻撃メールに添付された悪性Wordファイル (以降 Maldoc) をユーザが開くことで感染することが知られています。(初期にはExcelファイルが悪用されたこともありました)
LODEINFO 是一种无文件恶意软件,自 2019 年 12 月以来,它已被用于基于观察到的有针对性的攻击电子邮件的活动。 众所周知,感染可能是由用户打开附加到目标攻击电子邮件的恶意 Word 文件(以下简称 maldoc)引起的。 (在早期,Excel 文件有时会被滥用。
セキュリティベンダから公開された情報によると、LODEINFOを使用したAdvanced Persistent Threat (APT)キャンペーンは日本のメディアや外交、公共機関、防衛産業、シンクタンク等を標的としており、その手口やマルウェアの類似性によりAPT10と呼ばれる攻撃グループが関与している可能性についても言及されています。
根据安全厂商发布的信息,使用LODEINFO的高级持续威胁(APT)活动针对日本的媒体、外交、公共机构、国防工业、智库等,作案手法和恶意软件的相似性可能涉及一个名为APT10的攻击组织。
2022年までのLODEINFOに関する公開情報例
截至 2022 年有关 LODEINFO 的公开信息示例
• APT10 HUNTER RISE ver3.0: Repel new malware LODEINFO, DOWNJPIT and LilimRAT
• APT10 HUNTER RISE ver3.0:击退新的恶意软件 LODEINFO、DOWNJPIT 和 LilimRAT
• APT10: Tracking down LODEINFO 2022, part I
• APT10:追踪 LODEINFO 2022,第一部分
• Unmasking MirrorFace: Operation LiberalFace targeting Japanese political entities
• 揭露“镜面”(MirrorFace):针对日本政治实体的“自由面孔行动”(Operation LiberalFace)
• Fighting to LODEINFO: Investigation for Continuous Cyberespionage Based on Open Source
• 与LODEINFO作斗争:基于开源的持续网络间谍活动调查
• 日本国内の組織を狙ったマルウェアLODEINFO
• 针对日本组织的 LODEINFO 恶意软件
• マルウェアLODEINFOの進化 • 恶意软件 LODEINFO 的演变
LODEINFOを使った攻撃は、2023年においても複数のバージョンが見つかっており、2024年の1月現在も活発に開発されていることがそのバージョンの更新頻度からもうかがえます。
在 2023 年发现了 LODEINFO 攻击的多个版本,该版本的更新频率表明,截至 2024 年 1 月,它仍在积极开发中。
2022年9月以前のバージョン更新については以下の記事を参照ください。
请参阅以下文章,了解 2022 年 9 月对先前版本的更新。
APT10: Tracking down LODEINFO 2022, part II
APT10:追踪 LODEINFO 2022,第二部分
我々は、収集した各バージョンについて、それぞれ解析を行いその変更点を洗い出しました。すると機能拡張はもちろんのこと、それ以上に耐解析 (解析避け) の手法が変更されたり、新たな機能が実装されたりしていることがわかりました。
我们分析了我们收集的每个版本,以确定这些变化。 除了功能的增强外,我们还发现电阻分析(分析规避)的方法已经改变,并实现了新功能。
これは、攻撃者がマルウェアを含む彼らの Tactics、Techniques、Procedures (TTPs) の隠ぺいに注力していることを示唆しています。
这表明攻击者专注于隐藏他们的战术、技术和程序 (TTP),包括恶意软件。
このような対策を講じることで検知情報は限られてくるため、LODEINFOの検知はより困難になりつつあると想定されます。
有了这些措施,检测信息是有限的,因此假设LODEINFO变得越来越难以检测。
実際に、2023年に発見されたLODEINFOの検体は限定的だったことはその効果を示しています。新たな検体の発見がされないことは、新たな調査・分析の結果が少なくなることにも繋がり、その結果、さらに検知が困難になるというスパイラルに陥るため、より潜伏性が高まっていっていると言えます。
事实上,2023 年发现的有限数量的 LODEINFO 样本显示了其有效性。 缺乏新标本的发现导致新调查和分析的结果减少,因此,它陷入了检测进一步困难的螺旋式上升,因此可以说潜伏期正在增加。
本記事の公開時点 (2024年1月24日) で、LODEINFOの新しいバージョンであるv0.7.3を観測しています。
在本文发布时(2024 年 1 月 24 日),我们正在观察 LODEINFO 的新版本 v0.7.3。
今回の記事ではv0.7.3を含む2022年末から2024年1月までに観測されたLODEINFOがどのようにアップデートされたのか、その詳細を紐解いていきます。
在本文中,我们将详细了解 LODEINFO 在 2022 年底到 2024 年 1 月期间观察到的更新情况,包括 v0.7.3。
LODEINFOの解析 PARSING LODEINFO
感染フローの解析 分析感染流
以下に2023年に見つかったLODEINFOの感染フローを記載します。この感染フローには従来からの変化が見られます。
以下是对 2023 年发现的 LODEINFO 感染流的描述。 我们看到这种感染流与过去相比发生了变化。
Downloader Shellcodeの更新 下载器 Shellcode 更新
初期感染は以前のバージョンと変わらず、標的型攻撃メールに添付されたMaldocが起点となり、最終的にメモリ内にLODEINFOが展開され感染します。
最初的感染与之前的版本相同,从附加到目标攻击邮件的 Maldoc 开始,最后扩展内存中的 LODEINFO 以感染感染。
2023年にはこのMaldoc内のVBAコードが更新されました。具体的には32bit版と64bit版の双方のDownloader Shellcodeが埋め込まれたVBAコードが追加され、標的の環境によってどちらを使うかが選択されるようになっています。
2023 年,此 Maldoc 中的 VBA 代码已更新。 具体来说,添加了嵌入了 32 位和 64 位版本的 Downloader Shellcode 的 VBA 代码,并根据目标环境选择要使用的 VBA 代码。
Windows OSにおける64bitアーキテクチャ採用への対応は各組織で課題になっていますが LODEINFOもまた64bitアーキテクチャに適応するべく変化をしたと考えられます。
适应 Windows 操作系统中 64 位架构的采用已成为每个组织面临的问题,但人们认为 LODEINFO 也发生了变化以适应 64 位架构。
この感染フローの変更は2023年に観測されたv0.6.8からv0.7.1のバージョンで実装されていました。
感染流的这一变化是在 2023 年观察到的从 v0.6.8 到 v0.7.1 的版本中实现的。
Remote Template Injection
远程模板注入
LODEINFO v0.6.9では、前述の感染フローにRemote Template Injectionを使用する、更に複雑な事例も確認しています。
LODEINFO v0.6.9 还识别了一种更复杂的情况,即对上述感染流使用远程模板注入。
Remote Template Injectionとは
远程模板注入とは
Microsoft Wordには他ユーザの作成したひな形を使用してファイルを作成できる「テンプレート」機能があります。テンプレートが挿入されたWordファイルが読み取られるとき、テンプレートはローカルまたはリモートのマシンからダウンロードされます。
Microsoft Word 具有“模板”功能,允许您使用其他用户创建的信纸创建文件。 读取带有模板的 Word 文件时,将从本地或远程计算机下载模板。
上記の「テンプレート」機能を利用して、攻撃者はあらかじめ悪意のあるマクロを含むWordのテンプレートファイル (.dotm) を自分のサーバでホストし、被害者がそのテンプレートが挿入されたWordファイルを開くたびに、攻撃者のサーバから悪意のあるテンプレートが取得、実行されるようにできます。
使用上述“模板”功能,攻击者可以在其服务器上预先托管包含恶意宏的 Word 模板文件 (.dotm),以便在受害者每次打开插入模板的 Word 文件时从攻击者的服务器检索并执行恶意模板。
前述の通り、Remote Template InjectionのWordファイルを開くと、攻撃者のC2 サーバからテンプレートをダウンロードして読み込みます。 読み込まれたテンプレートは前述したMaldocと同等のマルウェアで、Downloader Shellcodeが埋め込まれたVBAコードが含まれています。これにより最終的にLODEINFO本体が呼び込まれます。Remote Template Injectionが追加された感染フローのイメージを以下に記します。
如上所述,当您打开远程模板注入 Word 文件时,它会从攻击者的 C2 服务器下载并加载模板。 加载的模板是上述 Maldoc 的恶意软件等效物,包含嵌入了 Downloader Shellcode 的 VBA 代码。 这最终将引入 LODEINFO 本身。 以下是添加了远程模板注入的感染流的图像。
添付されたWordファイル自身はテンプレートを読み込むだけのため、この技術は悪意のある動作として検知されにくいという特徴があり、セキュリティ製品の検知を回避することを目的としていると考えられます。
由于附加的Word文件本身仅读取模板,因此该技术的特点是难以检测为恶意操作,并且被认为旨在避免被安全产品检测到。
更にRemote Template Injectionを用いたWordファイルの構造を解析してみます。このWordファイル内の\word\_rels\settings.xml.rels
の中身を確認することでhttps://45.76.222[.]130/template.dotm
をテンプレートファイルとして読み込むよう仕組まれていることがわかります。
此外,让我们使用远程模板注入分析Word文件的结构。 通过检查 \word\_rels\settings.xml.rels
此 Word 文件中的内容, https://45.76.222[.]130/template.dotm
您可以看到它被设计为作为模板文件加载。
Maldocの解析 马尔多克分析
続いてMaldocに含まれているVBAについて紹介します。
接下来,我将介绍 Maldoc 中包含的 VBA。
Maldocに埋め込まれたVBAコード 马尔多克中嵌入的VBA代码
前述の通り、Maldocに埋め込まれたVBAのコード内には64bitおよび32bitのDownloader Shellcodeがそれぞれ埋め込まれています。
如上所述,64 位和 32 位 Downloader Shellcode 分别嵌入在 Maldoc 中嵌入的 VBA 代码中。
マクロにはまず標的端末のOSのアーキテクチャを確認し、そのアーキテクチャにあわせたDownloader Shellcodeを実行する仕組みが搭載されています。
该宏配备了一种机制,该机制首先检查目标设备操作系统的体系结构,并根据该体系结构执行 Downloader Shellcode。
各Downloader ShellcodeはBase64エンコードされたうえ、複数のパーツに分割されています。これは、セキュリティ製品の検知を回避する手法であると考えられます。 マクロ実行時には、分割されたパーツが再構成された後、Base64を使用してデコードされたShellcodeがメモリ内に注入されます。
每个 Downloader Shellcode 都经过 Base64 编码,并拆分为多个部分。 这可能是逃避安全产品检测的一种方式。 执行宏时,拆分部分被重新组装,然后使用 Base64 解码的 Shellcode 被注入内存。
Office製品の言語確認 Office 产品的语言验证
Office 製品の言語設定を確認する為のコードがv0.7.0のMaldocに実装されていました。我々が確認した検体では、Office製品の設定が日本語か否かを確認しています。これは標的の言語環境でのみ動作するように作成されていると考えられます。
用于检查 Office 产品语言设置的代码是在 v0.7.0 的 Maldoc 中实现的。 在我们确认的示例中,我们检查Office产品的设置是否为日语。 据信,它被创建为仅在目标语言环境中工作。
興味深いことに、v0.7.1ではこの機能が攻撃者によって削除されていました。それだけでなく、Maldoc自体のファイル名も日本語から英語になっていました。このことから、v0.7.1 は日本語以外の言語環境を攻撃するために使用された可能性が高いと考えています。
有趣的是,在 v0.7.1 中,攻击者删除了此功能。 不仅如此,马尔多克本身的文件名也从日语改成了英语。 基于此,我们认为 v0.7.1 最有可能用于攻击日语以外的语言环境。
Donwloader Shellcodeの解析 Donwloader Shellcode 分析
LODEINFO v0.7.1で用いられるDownloader ShellcodeはC2サーバからPEMファイルに偽装した (以降Fake PEM) ファイルをダウンロードし復号を行い、最終的にLODEINFOに感染させる為のファイルを作成し実行するマルウェアです。Shellcode自体は非常にシンプルなダウンローダのため、Fake PEMファイルからデータを復号する処理について解析結果を共有します。
LODEINFO v0.7.1 中使用的 Downloader Shellcode 是一种恶意软件,它创建并执行一个文件,该文件从 C2 服务器下载伪装成 PEM 文件的文件(以下简称 Fake PEM),对其进行解密,最后用 LODEINFO 感染它。 由于 Shellcode 本身是一个非常简单的下载器,我们将分享从 Fake PEM 文件中解密数据的过程的分析结果。
PEMファイルとは 什么是 PEM 文件
Privacy Enhanced Mailファイルの略称です。
Privacy Enhanced Mail file 的缩写。
公開鍵基盤 (Public Key Infrastructure: PKI) で使用される鍵と証明書のためのファイル形式の一つです。元々は電子メールのセキュリティ向上を目的として作られましたが、現在はインターネットセキュリティの標準となっています。 Webサーバや電子メールサーバ、セキュアな通信プロトコル (HTTPSなど) の設定でPEMファイルが使用されます。
它是公钥基础结构 (PKI) 中使用的密钥和证书的文件格式。 它最初是为了提高电子邮件安全性而创建的,现在是互联网安全的标准。 PEM 文件用于配置 Web 服务器、电子邮件服务器和安全通信协议(如 HTTPS)。
Fake PEMファイルの復号方法 如何解密伪造的 PEM 文件
Downloader Shellcodeは、C2サーバからFake PEMファイルをダウンロードします。その後、Fake PEMファイルに対して以下の手順でデータの復号を行います。
Downloader Shellcode 从 C2 服务器下载假 PEM 文件。 之后,按照以下步骤解密假 PEM 文件的数据。
1. Fake PEMファイルのヘッダーとフッターを削除する
1. 删除伪造 PEM 文件的页眉和页脚
2. 手順1のデータをBase64でデコードする
2. 使用 Base64 解码步骤 1 中的数据
3. 手順2にてデコードされたデータから最初の3-byteを削除する
3. 从步骤 2 中解码的数据中删除第一个 3 字节
4. Download Shellcode内にハードコードされたパスワードから SHA1 ハッシュ アルゴリズムを使用してHMAC を生成する
4. 使用 SHA1 哈希算法从下载 Shellcode 中的硬编码密码生成 HMAC
5. 手順4で生成されたHMACをAESの鍵として使用し、手順3のデータをAESで復号する
5. 使用步骤 4 中生成的 HMAC 作为 AES 密钥,并使用 AES 解密步骤 3 中的数据
6. 手順5で復号したデータを、さらに1-byte XORの鍵を用いてデコードする
6. 使用 1 字节 XOR 密钥对步骤 5 中解密的数据进行解码。
HMAC (Hash-based Message Authentication Code) とは
HMAC (Hash-based Message Authentication Code) とは
一方向ハッシュ関数を使用してメッセージの整合性と認証を保証するためのコードおよび手法です。データの送信者やデータが途中で改ざんされていないことの確認が必要なセキュアな通信に広く使用されています。
使用单向哈希函数来确保消息完整性和身份验证的代码和技术。 它广泛用于安全通信,需要验证数据发送方或数据在途中未被篡改。
今回調査した検体には以下のような形でパスワードがハードコードされていました。このパスワードが無い場合、たとえFake PEMファイルを運よく入手できたとしても後続のデータの復号は極めて難しいと言えます。
这次检查的示例具有以下形式的硬编码密码。 如果没有这个密码,即使你有幸得到一个假的PEM文件,也很难解密后续数据。
LODEINFO Backdoor Shellcodeのメモリ内への展開
将 LODEINFO 后门 shellcode 解压到内存中
最終的に手順6で復号されたデータは以下のような独自のデータ構造で設計されていました。次のステップで使用される悪性のFrau.dll
等のオブジェクトが埋め込まれています。構造の詳細について解説します。
最后,步骤6中解密的数据被设计为具有独特的数据结构,如下所示。 它嵌入了将在下一步中使用的恶性 Frau.dll
对象。 将解释结构的细节。
復元されたデータ内には以下のような複数のオブジェクトが埋め込まれています。
恢复的数据中嵌入了几个对象,例如:
• Elze.exe
• Frau.dll
• Elze.exe_bak
各オブジェクトはDownloader Shellcodeによってファイル化され、感染端末内に設置されたのちElze.exe
が実行されます。Elze.exe
自体は正規ファイルですが、DLL side-loadingを用いることで悪性のFrau.dll
を読み込みます。Frau.dll
は、LODEINFO Backdoor Shellcodeをペイロードとしてメモリ内にロードする為の非常にシンプルなマルウェアです。
每个对象都被归档,放置在受感染的设备中,并由 Elze.exe
Downloader Shellcode 执行。 Elze.exe
本身是一个规范文件,但它使用 DLL 旁加载来加载恶性 Frau.dll
文件。 Frau.dll
是一种非常简单的恶意软件,它将 LODEINFO 后门 Shellcode 作为有效负载加载到内存中。
しかし、v0.6.6、v0.6.8およびv0.6.9ではControl Flow Flattening (以降 CFF) とJunk codeを用いることで難読化が今まで以上に強化されています。下図、左側のプログラムフローは非常に複雑になっていることがわかります。また下図右は該当部分のコードとなりますが、コードのほとんどがCFF (黄色) とJunk code (灰色) で埋められてしまい、実際に使用される悪性コード (白色) が極わずかであることがわかります。このことからも攻撃者が解析の妨害に注力していると言えます。
但是,在 v0.6.6、v0.6.8 和 v0.6.9 中,通过使用控制流扁平化 (CFF) 和垃圾代码增强了模糊处理。 在下图中,您可以看到左侧的程序流程非常复杂。 另外,下图右侧是相关部分的代码,但大部分代码都填充了CFF(黄色)和垃圾代码(灰色),可以看到实际使用的恶意代码(白色)非常小。 这表明攻击者专注于破坏分析。
最後に、Elze.exe_bak
ファイルはLODEINFO Backdoor Shellcodeを1-byte XORエンコードしたデータで、Frau.dll
によって読み込まれペイロードとしてデコードされます。
最后,该 Elze.exe_bak
文件是一个 1 字节 XOR 编码的 LODEINFO 后门 Shellcode, Frau.dll
由 读取并解码为有效负载。
Control Flow Flattening とは
什么是控制流扁平化?
プログラムの構造をわかりにくくすることを目的とした手法です。
这是一种旨在模糊程序结构的技术。
単純な処理を、条件分岐と繰り返し処理に置き換えるため、制御フローで見ると縦に連なる処理が条件分岐と繰り返し処理によって横に並ぶようになります。制御フローが平らになることで、プログラムの処理の流れが煩雑になり、解析がしにくくなります。
由于简单处理被条件分支和迭代处理所取代,垂直连接的进程现在通过控制流中的条件分支和迭代处理水平排列。 通过扁平化控制流,程序过程的流程变得复杂且难以分析。
Attacking Emotet’s Control Flow Flattening – Sophos News
既知のダウンローダDOWNIISSAとの類似点
細かく分析を行うことで、今回見つかったDownloader Shellcodeと既知のダウンローダであるDOWNIISSAと3つの類似点があることを確認しました。 なお、DOWNIISSAと今回解析したDownloader Shellcodeはその構造上別のマルウェアファミリーであると判断しています。
通过详细分析,我们确认了这次发现的 Downloader Shellcode 与已知的下载器 DOWNIISSA 有三个相似之处。 此外,我们这次分析的 DOWNIISSA 和 Downloader Shellcode 因其结构而被判定为不同的恶意软件家族。
類似点:
1. 悪性コードを隠蔽する為のセルフパッチメカニズム
1. 自修补机制,隐藏恶意代码
2. C2サーバ情報のエンコード方式 2. C2服务器信息编码
3. Fake PEMファイルから復号されたデータの構造
3. 从假 PEM 文件中解密的数据结构
参考 APT10: Tracking down LODEINFO 2022, part I
参考 APT10: Tracking down LODEINFO 2022, part I
類似点1: 悪性コードを隠蔽するためのセルフパッチメカニズム
相似性一:自修补机制,隐藏恶意代码
一つ目の類似点として、Shellcode自身をデコードするためのパッチメカニズムがあげられます。 2022年に報告されているDOWNIISSAではShellcodeの実行時にShellcode自身をパッチングする処理が施されていました。今回新しく見つかったDownloader Shellcodeにおいても同様にセルフパッチメカニズムが実装されていました。
第一个相似之处是解码 Shellcode 本身的修补机制。 在 2022 年报道的 DOWNIISSA 中,Shellcode 本身在执行 Shellcode 时被修补。 新发现的 Downloader Shellcode 也以同样的方式实现了自修补机制。
Shellcode内でセルフパッチを行う点ではDOWNIISSAと似ていますが、明確な差分もあります。DOWNIISSAではBase64が使用されていましたが、今回のDownloader ShellcodeではXORデコードが使用されていました。XORの鍵は0x00から0xFFまで1つずつ増分されながら使われます。
它与 DOWNIISSA 相似,因为它在 Shellcode 中进行自我修补,但也存在明显的差异。 DOWNIISSA 使用了 Base64,但这次 Downloader Shellcode 使用了 XOR 解码。 XOR 键以从 0x00 到 0xFF 的增量逐个使用。
類似点2: C2サーバ情報のエンコード方式 相似性2:C2服务器信息编码
2つ目の類似点として、Shellcode内に埋め込まれたC2サーバのエンコード方式が同じことがあげられます。Downloader Shellcode内には2つのC2サーバの通信先が埋め込まれていますが、この通信先が1-byte XORエンコードされています。また、エンコード方式だけでなく、埋め込み方についても非常に似ています。
第二个相似之处是 Shellcode 中嵌入的 C2 服务器的编码是相同的。 两个 C2 服务器的通信目的地嵌入在 Downloader Shellcode 中,并且此通信目的地是 1 字节 XOR 编码的。 它们不仅在编码方面也非常相似,而且在嵌入方式方面也非常相似。
類似点3: Fake PEMファイルから復号されたデータの構造
相似性 3:从 Fake PEM 文件中解密的数据结构
Fake PEMファイルから復号されたデータの構造は前述したとおり独自構造となっており、DOWNIISSAによって復号されたデータ構造と完全に同じデータ構造を採用していることを確認しています。
如上所述,从伪造的PEM文件中解密的数据结构具有独特的结构,并且已经确认它采用了与DOWNIISSA解密的数据结构完全相同的数据结构。
LODEINFO Backdoor Shellcode
LODEINFO 后门 Shellcode
LODEINFO Backdoor Shellcodeは感染したホストに攻撃者がリモートアクセスし操作するためのファイルレスマルウェアです。以下の特徴は公開情報と同じでした。
LODEINFO 后门 Shellcode 是一种无文件恶意软件,允许攻击者远程访问和操纵受感染的主机。 以下特征与公开信息中的相同。
• 通信先が独自のデータ構造を使用している • 目标使用自己的数据结构
• 埋め込まれているデータのアドレスを参照するメカニズムが特徴的
• 用于引用嵌入数据地址的独特机制
• 2-bytes XORを用いてBackdoor Command IDを隠蔽する
• 使用 2 字节 XOR 隐藏后门命令 ID
• C2サーバとの通信データの構造および暗号化が下図のように非常に複雑である
• 与C2服务器通信数据的结构和加密非常复杂,如下图所示。
• 上記の暗号化にてVigenere 暗号を複数回使用する
• 在上述加密中多次使用 Vigenere 密码
2023年に見つかった複数のLODEINFO を解析した結果、過去の公開情報と以下の差分があることがわかりました。
通过分析 2023 年发现的多个 LODEINFO,我们发现与过去的公开信息存在以下差异。
1. API関数名を求めるハッシュ計算アルゴリズムの変更
1. 更改哈希计算算法以查找 API 函数名称
2. Backdoor commandの追加 2. 添加后门命令
変更点1: API関数名を求めるハッシュ計算アルゴリズムの変更
更改 1:更改了哈希计算算法以查找 API 函数名称
v0.7.0 では、v0.6.9 と比較して新しいハッシュ計算アルゴリズムに変更されています。このアルゴリズムの変更によって、過去の検体と同じルールでのシグネチャマッチングができなくなっています。
在 v0.7.0 中,与 v0.6.9 相比,新的哈希计算算法发生了变化。 由于算法的这种变化,不再可能使用与过去样本相同的规则来匹配签名。
ハッシュ計算アルゴリズムは、マルウェアによってAPI関数名のハッシュを計算し、関数アドレスを解決するために使用されます。公開情報と同様、ハッシュ計算のロジックにはサンプルごとに異なるハードコードされたXORキーが含まれており、これを用いてXORデコードを行うため、サンプルごとに埋め込まれているハッシュ値が異なります。
恶意软件使用哈希计算算法来计算 API 函数名称的哈希值并解析函数地址。 与公共信息一样,哈希计算逻辑包含一个硬编码的 XOR 密钥,该密钥对于每个样本都不同,并且用于 XOR 解码,因此每个样本的嵌入哈希值都不同。
変更点2: Backdoor commandの追加
更改 2:添加后门命令
LODEINFOは、感染したホストを制御するために、以下のようなBackdoor commandが実装されています。 Backdoor commandはv0.6.5では11個にまで減っていましたが、v0.7.1では6つのコマンドが復元、runas
コマンドが新たに追加されたことで18個に増えていました。更に、v0.7.2およびv0.7.3では削除されたコマンド群が復活したうえに、v0.7.1まで”Not Available.”と表示されるだけだったconfig
コマンドの中身が実装されていました。
LODEINFO 实现以下后门命令来控制受感染的主机: 在 v0.6.5 中,后门命令的数量减少到 11 个,但在 v0.7.1 中恢复了 6 个命令,由于添加了新 runas
命令,数量增加到了 18 个。 此外,v0.7.2 和 v0.7.3 将恢复已删除的命令,直到 v0.7.1 为“不可用”。 config
该命令的内容已实现。
攻撃者のインフラ 攻击者基础结构
ここまで紹介したLODEINFOの解析結果を踏まえ、それぞれの検体から得られた通信先の特徴について紹介します。
基于目前介绍的LODEINFO分析结果,我们将介绍从每个样本中获得的通信目的地的特征。
2023年我々が観測した攻撃者のインフラストラクチャの傾向はバージョン間で一致しており、攻撃者がAS-CHOOPAを好んで使用する傾向は継続しています。
在 2023 年,我们观察到不同版本的攻击者基础设施趋势一致,攻击者更喜欢使用 AS-CHOOPA 的趋势仍在继续。
まとめ 总结
2023年もLODEINFOは複数のバージョンが観測されており、2024年1月にはv0.7.3が観測されました。今後も様々な機能追加や検知回避の手法が取り入れられる可能性が高く、引き続き注意が必要です。
LODEINFO 在 2023 年观察到多个版本,并在 2024 年 1 月观察到 v0.7.3。 未来很有可能增加各种功能,引入检测规避方法,需要继续小心。
対策としては、LODEINFOはDownloader ShellcodeとBackdoor Shellcodeの双方ともファイルレスマルウェアであることから、検知を行う場合にはメモリ内のマルウェアをスキャンし検知できる製品の導入が必要不可欠です。当社では、これまでの調査結果を踏まえメモリ内のスキャンができる製品の導入だけでなく、LODEINFOに特化した様々な対策を行っており、今後も調査や対策の拡充を継続していく方針です。LODEINFOの脅威にさらされ、解析を必要とされている組織のCERTの皆様と引き続き情報交換ができますと幸いです。
作为对策,由于 Downloader Shellcode 和 Backdoor Shellcode 都是 LODEINFO 中的无文件恶意软件,因此必须安装一个可以在检测时扫描和检测内存中恶意软件的产品。 根据迄今为止的调查结果,我们不仅推出了可以扫描内存的产品,而且还采取了专门针对LODEINFO的各种措施,我们将在未来继续扩大我们的调查和对策。 我们期待继续与 CERT 交换信息,以了解受到 LODEINFO 威胁并需要分析的组织。
最後に、JSAC2024ではLODEINFOに関する講演が2つ予定されています。 参加申請は終了しておりますが、一部資料は後日公開されますので最新情報の取得にぜひご活用ください。
最后,JSAC2024将在LODEINFO上进行两次演讲。 参与申请已经结束,但一些材料将在稍后发布,因此请使用它来获取最新信息。
IoCs IOC的
MD5 of samples: 样品的MD5:
69dd7fd355d79db0325816569ae2129a – Maldoc
E82d98bae599cd172bb194adbdc76873 – zip file of above maldoc
E82d98bae599cd172bb194adbdc76873 – 上面的 maldoc 的 zip 文件
D1a925ddb6d0defc94afb5996ed148bd – Maldoc
D1a925ddb6d0defc94afb5996ed148bd – 马尔多克
9598b2af9dd1493dd213dbca56912af4 – Maldoc
9598b2af9dd1493dd213dbca56912af4 – 马尔多克
2a9012499d15145b5f63700c05adc426 – Loader module
2a9012499d15145b5f63700c05adc426 – 加载器模块
508aed3687c146c68ad16326568431ab – Loader module
508aed3687c146c68ad16326568431ab – 加载模块
60dea5b5f889f37f5a9196e040bce0eb – BLOB:encrypted LODEINFO v0.6.9
60dea5b5f889f37f5a9196e040bce0eb – BLOB:加密的 LODEINFO v0.6.9
3d910e8ab29362ae36de73c6b70a7e09 – BLOB:encrypted LODEINFO v0.7.1
3d910e8ab29362ae36de73c6b70a7e09 – BLOB:加密的 LODEINFO v0.7.1
290c5f33a4f4735e386b8193b1abdcf9 – Artifact:unique data structure for malware set
290c5f33a4f4735e386b8193b1abdcf9 – 工件:恶意软件集的唯一数据结构
C2s: C2s:
167.179.106[.]224 167.179.106[.] 224
167.179.77[.]72 167.179.77[.] 72
172.104.112[.]218 172.104.112[.] 218
202.182.116[.]25 202.182.116[.] 25
45.76.197[.]236 45.76.197[.] 236
45.76.222[.]130 45.76.222[.] 130
45.77.183[.]161 45.77.183[.] 161
原文始发于ITOCHU Cyber:分析官と攻撃者の解析回避を巡る終わりなき戦い: LODEINFO v0.6.6 – v0.7.3 の解析から
转载请注明:分析官と攻撃者の解析回避を巡る終わりなき戦い: LODEINFO v0.6.6 – v0.7.3 の解析から | CTF导航