MAR-10135536-17 – 朝鲜木马：KEYMARBLE

最后修订日期：2018年8月9日

警报代码：AR18-221A

通知

本报告“按原样”提供，仅供参考。国土安全部（DHS）不就本公告中包含的任何信息提供任何形式的保证。DHS不认可本公告中或其它地方提及的任何商业产品或服务。

本文档标记为TLP:WHITE。披露不受限制。根据适用于公开发布的规则和程序，当信息被滥用的风险极小或不存在时，来源方可使用TLP:WHITE。受标准版权规则约束，TLP:WHITE信息可不受限制地分发。有关交通灯协议（TLP）的更多信息，请参见 http://www.us-cert.gov/tlp。

摘要

描述

此恶意软件分析报告（MAR）是国土安全部（DHS）和联邦调查局（FBI）分析工作的成果。与美国政府合作伙伴合作，DHS和FBI识别出朝鲜政府使用的特洛伊木马恶意软件变种。此恶意软件变种已被识别为KEYMARBLE。美国政府将朝鲜政府的恶意网络活动称为HIDDEN COBRA。有关HIDDEN COBRA活动的更多信息，请访问 https://www.us-cert.gov/hiddencobra。

DHS和FBI分发此MAR旨在加强网络防御并减少暴露于朝鲜政府恶意网络活动的风险。本MAR包含与HIDDEN COBRA相关的恶意软件描述、建议的响应行动和推荐的缓解技术。用户或管理员应标记与该恶意软件相关的活动，向DHS国家网络安全和通信集成中心（NCCIC）或FBI网络观察（CyWatch）报告该活动，并优先考虑采取强化缓解措施。

本恶意软件报告包含对一个32位Windows可执行文件的分析，该文件被识别为远程访问木马（RAT）。此恶意软件能够访问设备配置数据、下载其他文件、执行命令、修改注册表、捕获屏幕截图以及外泄数据。

有关可下载的IOC副本，请参见： MAR-10135536-17.stix

提交的文件（1）

e23900b00ffd67cd8dfa3283d9ced691566df6d63d1d46c95b22569b49011f09 (704d491c155aad996f16377a35732c…)

IP地址（3）

100.43.153.60 104.194.160.59 212.143.21.43

发现

e23900b00ffd67cd8dfa3283d9ced691566df6d63d1d46c95b22569b49011f09

标签木马

详细信息

名称：704d491c155aad996f16377a35732cb4
大小：126976 字节
类型：PE32 可执行文件（GUI）Intel 80386，适用于 MS Windows
MD5：704d491c155aad996f16377a35732cb4
SHA1：d1410d073a6df8979712dd1b6122983f66d5bef8
SHA256：e23900b00ffd67cd8dfa3283d9ced691566df6d63d1d46c95b22569b49011f09
SHA512：0092900bf4ca71c17a3caa225a4d7dcc60c7b58f7ffd173f46731db7f696e34b2e752aefaf9cedc27fe76fe317962a394f1be2e59bd0cffaabd9f88cc4daedcc
ssdeep：3072:IDdXEYhXxS550wwiY0Pe6Q1vLo4lJnCtea:EXEEXxcQxZ
熵值：6.264656

杀毒软件检测结果

Ahnlab: Trojan/Win32.Agent
Antiy: Trojan/Win32.AGeneric
Avira: TR/Agent.rhagj
BitDefender: Trojan.GenericKD.4837544
ESET: a variant of Win32/NukeSped.H trojan
Emsisoft: Trojan.GenericKD.4837544 (B)
Ikarus: Trojan.Agent
K7: Trojan ( 0050e4401 )
McAfee: GenericRXBP-FF!704D491C155A
NANOAV: Trojan.Win32.Agent.eqcfki
NetGate: Trojan.Win32.Malware
Quick Heal: Trojan.IGENERIC
Symantec: Process timed out
TACHYON: Trojan/W32.Agent.126976.CTO
Zillya!: Trojan.NukeSped.Win32.5

Yara规则

hidden_cobra_consolidated.yara
- 规则 rsa_modulus { meta: Author=“NCCIC trusted 3rd party” Incident=“10135536” Date = “2018/04/19” category = “hidden_cobra” family = “n/a” description = “n/a” strings: $n = “bc9b75a31177587245305cd418b8df78652d1c03e9da0cfc910d6d38ee4191d40” condition: (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and any of them }

ssdeep匹配 未找到匹配项。

PE元数据

编译日期：2017-04-12 11:16:04-04:00
导入哈希：fc7dab4d20f23681313b91eba653aa21

PE节区

MD5	名称	原始大小	熵值
47f6fac41465e01dda5eac297ab250db	header	4096	0.627182
30d34a8f4c29d7c2feb0f6e2b102b0a4	.text	94208	6.633409
77f4a11d375f0f35b64a0c43fab947b8	.rdata	8192	5.054283
d4364f6d2f55a37f0036e9e0dc2c6a2b	.data	20480	4.416980

加壳器/编译器/加密器

Microsoft Visual C++ v6.0

关联关系

e23900b00f… 连接至 104.194.160.59
e23900b00f… 连接至 212.143.21.43
e23900b00f… 连接至 100.43.153.60

描述此应用程序是一个恶意的32位Windows可执行文件，功能为远程访问木马（RAT）。执行时，它会对其应用程序编程接口（API）进行反混淆处理，并使用端口443尝试连接到下面列出的硬编码IP地址。连接后，恶意软件等待进一步指令。

–开始硬编码IP地址– 100.43.153.60 104.194.160.59 212.143.21.43 –结束硬编码IP地址–

静态分析显示，此RAT使用图1中显示的自定义XOR加密算法来保护其数据传输和命令与控制（C2）会话。它设计用于接受远程服务器的指令以执行以下功能：

–开始功能列表–

下载和上传文件
执行辅助载荷
执行shell命令
终止正在运行的进程
删除文件
搜索文件
设置文件属性
创建用于存储数据的注册表项：（HKEY_CURRENT_USER\SOFTWARE\Microsoft\WABE\DataPath）
从已安装的存储设备收集设备信息（磁盘可用空间及其类型）
列出正在运行的进程信息
捕获屏幕截图
收集并发送有关受害者系统的信息（操作系统、CPU、MAC地址、计算机名、语言设置、磁盘设备列表及其类型、系统启动后经过的时间、受害者系统的唯一标识符） –结束功能列表–

屏幕截图

图1 - 恶意软件用于保护其数据传输和C2会话的加密算法截图。

IP地址分析

100.43.153.60

端口

443 TCP

Whois信息 （域名KRYPT.COM的注册信息摘要，包括注册商、创建日期、到期日期、域名服务器状态等。）

关联关系

100.43.153.60 被连接自 e23900b00ffd67cd8dfa3283d9ced691566df6d63d1d46c95b22569b49011f09

104.194.160.59

端口

443 TCP

Whois信息 （域名SERVPAC.COM的注册信息摘要。）

关联关系

104.194.160.59 被连接自 e23900b00ffd67cd8dfa3283d9ced691566df6d63d1d46c95b22569b49011f09

212.143.21.43

端口

443 TCP

Whois信息 （IP段212.143.21.0/24的RIPE网络注册信息摘要，归属以色列。）

关联关系

212.143.21.43 被连接自 e23900b00ffd67cd8dfa3283d9ced691566df6d63d1d46c95b22569b49011f09

关联关系摘要

e23900b00f… 连接至 104.194.160.59
e23900b00f… 连接至 212.143.21.43
e23900b00f… 连接至 100.43.153.60
100.43.153.60 被连接自 e23900b00ffd67cd8dfa3283d9ced691566df6d63d1d46c95b22569b49011f09
104.194.160.59 被连接自 e23900b00ffd67cd8dfa3283d9ced691566df6d63d1d46c95b22569b49011f09
212.143.21.43 被连接自 e23900b00ffd67cd8dfa3283d9ced691566df6d63d1d46c95b22569b49011f09

建议

NCCIC提醒用户和管理员考虑使用以下最佳实践来加强其组织系统的安全状况。任何配置更改都应在实施前由系统所有者和管理员审查，以避免不良影响。

保持防病毒签名和引擎为最新状态。
保持操作系统补丁为最新状态。
禁用文件和打印机共享服务。如果需要这些服务，请使用强密码或Active Directory身份验证。
限制用户安装和运行不需要的软件应用程序的权限。除非必要，否则不要将用户添加到本地管理员组。
强制执行强密码策略并定期更改密码。
打开电子邮件附件时要谨慎，即使附件是预期的且发件人看起来是已知的。
在机构工作站上启用个人防火墙，配置为拒绝未经请求的连接请求。
禁用机构工作站和服务器上不必要的服务。
扫描并删除可疑的电子邮件附件；确保扫描的附件是其“真实文件类型”（即扩展名与文件头匹配）。
监控用户的网页浏览习惯；限制访问内容不良的网站。
使用可移动媒体（例如，U盘、外置硬盘、CD等）时要谨慎。
执行前扫描所有从互联网下载的软件。
保持对最新威胁的态势感知并实施适当的访问控制列表（ACL）。

有关恶意软件事件预防和处理的更多信息，请参阅NIST特别出版物800-83《桌面和笔记本电脑恶意软件事件预防和处理指南》。

联系方式

电话：1-844-Say-CISA
电子邮件：
- SayCISA@cisa.dhs.gov (非密级)
- us-cert@dhs.sgov.gov (SIPRNET)
- us-cert@dhs.ic.gov (JWICS)

NCCIC持续努力改进其产品和服务。您可以通过在以下网址回答有关此产品的简短系列问题来提供帮助：https://us-cert.gov/forms/feedback/

文档常见问题解答

什么是MAR？ 恶意软件分析报告（MAR）旨在通过手动逆向工程为组织提供更详细的恶意软件分析。要请求额外分析，请联系US-CERT并提供有关所需分析级别的信息。
我可以向NCCIC提交恶意软件吗？ 恶意软件样本可以通过三种方法提交：
1. 网站：https://malware.us-cert.gov
2. 电子邮件：submit@malware.us-cert.gov
3. FTP：ftp.malware.us-cert.gov（匿名）

NCCIC鼓励您报告任何可疑活动，包括网络安全事件、可能的恶意代码、软件漏洞和网络钓鱼相关诈骗。报告表格可在US-CERT主页www.us-cert.gov上找到。

修订记录

2018年8月9日：初始版本

本产品根据此通知和此隐私与使用政策提供。