[聚合文章] 美国US-CERT发布朝鲜黑客组织HIDDEN COBRA网络攻击架构中涉及中国IP地址

近期，美国计算机应急响应中心 US-CERT 叕发布了 DHS 和 FBI 针对朝鲜政府黑客组织HIDDEN COBRA的联合技术分析预警（TA17-318A），预警中详细披露了 HIDDEN COBRA 用于网络渗透攻击的远控工具-FALLCHILL。US-CERT 称，DHS 和 FBI 与其它美国政府机构联合分析，通过网络IP地址和相关入侵指标（ IOC）共同识别出了FALLCHILL利用的网络攻击架构。经初步分析，DHS和FBI识别的FALLCHILL网络攻击架构中包含了5个注册地为中国的IP地址，以及一个.gov.cn的网站。

预警概述

FBI高度确信入侵指标文件（ IOC.csv）中提及的87个IP地址为HIDDEN COBRA的网络攻击架构，HIDDEN COBRA利用这些IP地址对受害系统进行远控管理，并计划开展针对其它目标的网络攻击。DHS和FBI及时公布这些IP地址旨在希望社会实体组织加强网络防御，避免遭受朝鲜政府黑客组织的网络攻击。

预警入侵指标文件（ IOC.csv）中包含的IP地址多为HIDDEN COBRA的跳转主机或感染主机，其中还包括IP地址解析、IP注册地址、隶属运营商等具体网络属性。

涉及中国的IP地址

IOC.csv中包含了5个注册地分别为郑州和北京的IP地址，以及一个 www.hubeicoal-safety.gov.cn 的网站，如下所示：

入侵指标文件

HIDDEN COBRA利用的网络攻击架构– IOC.csv

HIDDEN COBRA利用的恶意软件分析报告— MAR .pdf

FALLCHILL的攻击影响

根据第三方公司情报，HIDDEN COBRA自2016年起利用FALLCHILL开展了针对全球特定航空航天、通信、金融行业数家机构的网络入侵，FALLCHILL是一个全功能远程控制管理软件（RAT），攻击者能以多种代理方式从C2端向受害者系统发起多种形式的控制命令。攻击者利用“水坑攻击”或钓鱼邮件方式入侵受害者系统，然后通过外部工具或释放的恶意Dropper进行FALLCHILL植入，并利用其恶意软件即服务（malware-as-a-service）一体化平台实现持久驻留和其它恶意软件继续植入部署。

在对FALLCHILL的分析研判期间，美方政府机构根据公开注册信息，识别出了一些感染主机和中转主机地址的IP注册国。

技术分析

FALLCHILL是HIDDEN COBRA使用多种代理对受害者系统进行远控管理的主要C2部件，据可信的第三方报告，受害者系统和HIDDEN COBRA攻击者之间存在多种代理通信流量，如下：

FALLCHILL使用伪造的TLS通信，对通信数据以密钥序列 [0d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00 03 82]进行RC4加密，FALLCHILL收集受害者系统中信息包括：

操作系统版本信息

处理器信息

系统名称

本地IP信息

独特的生成ID

MAC地址

FALLCHILL针对受控目标系统，包含以下恶意控制功能：

获取所有磁盘的类型容量信息

可创建、运行、中止某一指定进程和相关线程

搜索、读取、写入、删除和执行程序文件

获取并更改文件或目录时间戳信息

更改当前运行进程或文件

更改进程或文件的当前目录

配合主控程序对受害者系统进行痕迹清理

检测防御

针对预警中的技术分析和入侵指标文件信息，DHS和FBI督促各机构网络管理者认真核实检查，识别匹配IP地址，一有发现，务必采取相关清除措施。另外可从匹配IP的网络流量中发现HIDDEN COBRA的具体网络攻击行为。

网络行为签名和基于主机的检测规则

网络行为签名

alert tcp any any -> any any (msg:"Malicious SSL 01 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\x04\x88\x4d\x76/"; rev:1; sid:2;)
_______________________________________________________________________________________
alert tcp any any -> any any (msg:"Malicious SSL 02 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\x06\x88\x4d\x76/"; rev:1; sid:3;)
_______________________________________________________________________________________
alert tcp any any -> any any (msg:"Malicious SSL 03 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\xb2\x63\x70\x7b/"; rev:1; sid:4;)
____________________________________________________________________________________
alert tcp any any -> any any (msg:"Malicious SSL 04 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\xb0\x63\x70\x7b/"; rev:1; sid:5;)

YARA规则

rule rc4_stack_key_fallchill
{
meta:
    description = "rc4_stack_key"
strings:
    $stack_key = { 0d 06 09 2a ?? ?? ?? ?? 86 48 86 f7 ?? ?? ?? ?? 0d 01 01 01 ?? ?? ?? ?? 05 00 03 82 41 8b c9 41 8b d1 49 8b 40 08 48 ff c2 88 4c 02 ff ff c1 81 f9 00 01 00 00 7c eb }
condition:
    (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and $stack_key
}
rule success_fail_codes_fallchill
{
meta:
    description = "success_fail_codes"
strings:
    $s0 = { 68 7a 34 12 00 } 
    $s1 = { ba 7a 34 12 00 } 
    $f0 = { 68 5c 34 12 00 } 
    $f1 = { ba 5c 34 12 00 }
condition:
    (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and (($s0 and $f0) or ($s1 and $f1))
}

影响

感染了FALLCHILL的系统或组织机构，可能面临：

当前或长期的数据泄露

正常业务运行的影响破坏

后期系统和文件的恢复维护成本

对组织机构潜在的声誉影响

缓解

使用应用程序白名单策略

更新系统和软件补丁

保持安全防护软件处于最新状态

对系统进行权限访问控制

避免接收不明电邮

避免开启文档宏功能

*参考来源： us-cert ，freebuf小编clouds编译，转载请注明来自FreeBuf.COM