记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

SolarWinds事件恶意代码与俄罗斯组织常用木马相关

2021-01-12 11:27

2020年1月11日,著名俄罗斯安全公司卡巴斯基发布报告称,SolarWinds供应链攻击事件中的Sunburst后门代码与俄罗斯APT组织常用木马Kazuar后门存在代码重叠。因此,可以结合此前美国联合发布报告称,SolarWinds供应链事件可能来自俄罗斯的结论来看本文。

Kazuar是.NET平台的后门程序,由PaloAlto于2017年首次报告并将Kazuar与APT组织Turla关联起来,卡巴斯基称在过去几年,Turla组织经常使用Kazuar木马。

而Sunburst和Kazuar在几个不常用的模块中存在代码重叠或相似性。

相似功能模块包括受害人UID生成算法,休眠算法以及FNV-1a哈希。

1、使用相似休眠算法

2、均使用FNV-1a哈希算法

Kazuar后门shellcode使用FNV-1a哈希算法变种来查找库函数的地址。Sunburst使用经过修改的64位FNV-1a哈希来进行字符串混淆。

3、用于生成受害者标识符的算法

两者均使用了生成唯一受害者标识符的算法,均采用的是MD5 + XOR算法。

除了上述提到的相似性外,2020年11月,Kazuar后门发生了一些重大变化。代码被重构,并且恶意软件变具隐蔽性,其大多数代码不再类似于旧版本。其中最新版本对此前的MD5+XOR算法进行了修改。

卡巴斯基表示,造成这些相似性的可能原因有:

1、Sunburst与Kazuar由同一木马开发团队开发。

2、Sunburst开发人员采用了Kazuar木马的一些方法或代码。

3、SolarWinds供应链事件幕后APT组织(DarkHalo/UNC2452)和使用Kazuar的APT组织均从同一来源获取到该恶意软件。

4、一些Kazuar开发人员转移到另一个开发团队,随身带着写马技巧和工具

5、Sunburst开发人员将这些微妙的链接作为虚假标记的形式进行了伪造(假旗),以便将责任归咎于另一个APT组织。

对此,卡巴斯基表示不知道这些选项中的哪一个是正确的。

最后,卡巴斯基强调了假旗的可能性,即可能存在仿冒其他APT组织木马所使用的技术,从而试图误导归因的行为,但目前Kazuar木马事实上在公开渠道出现的较少,因此Sunburst的开发人员要在追踪Kazuar木马的每个版本并进行模仿,这一点还是比较难以实现,因此比较难以进行模仿。

原文中提及了卡巴基斯对Kazuar木马的大规模更新时间和Solarwinds攻击事件曝光后的时间进行了比较,并提出其多个猜测,需要深入研究可自行查阅。

参考链接:

[1]原文:https://securelist.com/sunburst-backdoor-kazuar/99981/

[2]https://unit42.paloaltonetworks.com/unit42-kazuar-multiplatform-espionage-backdoor-api-access/

[3]https://securelist.com/sunburst-connecting-the-dots-in-the-dns-requests/99862/

[4]https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-compromise-to-breach-organizations/

[5]https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

声明:本文来自黑鸟,版权归作者所有。


知识来源: https://www.secrss.com/articles/28638

阅读:99556 | 评论:0 | 标签:木马

想收藏或者和大家分享这篇好文章→复制链接地址

“SolarWinds事件恶意代码与俄罗斯组织常用木马相关”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求投资、赞助、支持💖

标签云