关于我们-新闻详情-数智科技

首页
HOME
产品与服务
product
- 产品
- 服务
解决方案
solution
- 城市建设运营解决方案
- 物联网安全解决方案
- 云计算解决方案
- 大数据解决方案
- 区块链安全解决方案
- IDC监管方案
创新研究
research
关于我们
about

首页 > 创新研究 > 详情

来自朝鲜的恶意软件：HOPLIGHT分析报告

2020-04-07 15:12:05 数智科技

背景

2019年上半年，外媒报道了美国政府发布的一则安全警告：称名为HIDDEN COBRA朝鲜黑客组织使用了一种新的且非常强大的后门木马恶意软件：HOPLIGHT。美国国土安全部（DHS），联邦调查局（FBI）和国防部（DoD）合作分析得出：HOPLIGHT是朝鲜政府使用的Trojan恶意软件变体。

日前，美国国土安全部（DHS），联邦调查局（FBI）和国防部（DoD）正在分发此MAR，以实现网络防御并减少对朝鲜政府恶意网络活动的暴露。

该MAR包含与HIDDEN COBRA相关的恶意软件描述，建议的响应措施和建议的缓解技术。用户或管理员应标记与恶意软件相关的活动，并将活动报告给网络安全和基础架构安全局（CISA）或FBI网络监视（CyWatch），并为增强缓解措施赋予最高优先级。

该报告提供了二十个恶意可执行文件的分析。这些文件中有16个是代理应用程序，可屏蔽恶意软件和远程操作员之间的通信。代理可以使用有效的公共SSL证书生成伪造的TLS握手会话，从而掩盖与远程恶意行为者的网络连接。一个文件包含一个公共SSL证书，并且该文件的有效负载似乎是用密码或密钥编码的。剩余文件不包含任何公共SSL证书，但尝试出站连接并删除四个文件。删除的文件主要包含IP地址和SSL证书。

相关ioc公布如下：

提交的文件（20）

05feed9762bc46b47a7dc5c469add9f163c16df4ddaafe81983a628da5714461 (23E27E5482E3F55BF828DAB8855690...)
0608e411348905145a267a9beaf5cd3527f11f95c4afde4c45998f066f418571 (34E56056E5741F33D823859E77235E...)
084b21bc32ee19af98f85aee8204a148032ce7eabef668481b919195dd62b319 (170A55F7C0448F1741E60B01DCEC9C...)
12480585e08855109c5972e85d99cda7701fe992bc1754f1a0736f1eebcb004d (868036E102DF4CE414B0E6700825B3...)
1a01b8a4c505db70f9e199337ce7f497b3dd42f25ad06487e29385580bca3676 (07D2B057D2385A4CDF413E8D342305...)
2151c1977b4555a1761c12f151969f8e853e26c396fa1a7b74ccbaf3a48f4525 (5C3898AC7670DA30CF0B22075F3E8E...)
32ec329301aa4547b4ef4800159940feb950785f1ab68d85a14d363e0ff2bc11 (38FC56965DCCD18F39F8A945F6EBC4...)
4a74a9fd40b63218f7504f806fce71dffefc1b1d6ca4bbaadd720b6a89d47761 (42682D4A78FE5C2EDA988185A34463...)
4c372df691fc699552f81c3d3937729f1dde2a2393f36c92ccc2bd2a033a0818 (C5DC53A540ABE95E02008A04A0D56D...)
70034b33f59c6698403293cdc28676c7daa8c49031089efa6eefce41e22dccb3 (61E3571B8D9B2E9CCFADC3DDE10FB6...)
73dcb7639c1f81d3f7c4931d32787bdf07bd98550888c4b29b1058b2d5a7ca33 (3EDCE4D49A2F31B8BA9BAD0B8EF549...)
83228075a604e955d59edc760e4c4ed16eedabfc8f6ac291cf21b4fcbcd1f70a (3021B9EF74c&BDDF59656A035F94FD...)
8a1d57ee05d29a730864299376b830a7e127f089e500e148d96d0868b7c5b520 (5C0C1B4C3B1CFD455AC05ACE994AED...)
b05aae59b3c1d024b19c88448811debef1eada2f51761a5c41e70da3db7615a9 (2FF1688FE866EC2871169197F9D469...)
b9a26a569257fbe02c10d3735587f10ee58e4281dba43474dbdef4ace8ea7101 (2A791769AA73AC757F210F8546125B...)
c66ef8652e15b579b409170658c95d35cfd6231c7ce030b172692f911e7dcff8 (E4ED26D5E2A84CC5E48D285E4EA898...)
d77fdabe17cdba62a8e728cbe6c740e2c2e541072501f77988674e07a05dfb39 (F8D26F2B8DD2AC4889597E1F2FD1F2...)
ddea408e178f0412ae78ff5d5adf2439251f68cad4fd853ee466a3c74649642d (BE588CD29B9DC6F8CFC4D0AA5E5C79...)
f8f7720785f7e75bd6407ac2acd63f90ab6c2907d3619162dc41a8ffa40a5d03 (D2DA675A8ADFEF9D0C146154084FFF...)
fe43bc385b30796f5e2d94dfa720903c70e66bc91dfdcfb2f3986a1fea3fe8c5 (F315BE41D9765D69AD60F0B4D29E43...)

附加文件（7）

05feed9762bc46b47a7dc5c469add9f163c16df4ddaafe81983a628da5714461 (23E2
44a93ea6e6796530bb3cf99555dfb3b1092ed8fb4336bb198ca15b2a21d32980 (None)
49757cf85657757704656c079785c072bbc233cab942418d99d1f63d43f28359 (rdpproto.dll)
70902623c9cd0cccc8513850072b70732d02c266c7b7e96d2d5b2ed4f5edc289 (udbcgiut.dat)
823d255d3dc8cbc402527072a9220e4c38655de1a3e55a465db28b55d3ac1bf8 (None)
96a296d224f285c67bee93c30f8a309157f0daa35dc5b87e410b78630a09cfc7 (MSDFMAPI.INI)
ba80cb0a08908782f4b6e88aa15e2d306b19bc93e79bd8770bf8be904fd1bd09 (None)
cd5ff67ff773cc60c98c35f9e9d514b597cbd148789547ba152ba67bfc0fec8f (UDPTrcSvc.dll)

IP（23）

112.175.92.57
113.114.117.122
117.239.241.2
119.18.230.253
128.200.115.228
137.139.135.151
14.140.116.172
181.39.135.126
186.169.2.237
195.158.234.60
197.211.212.59
21.252.107.198
210.137.6.37
217.117.4.110
218.255.24.226
221.138.17.152
26.165.218.44
47.206.4.145
70.224.36.194
81.94.192.10
81.94.192.147
84.49.242.125
97.90.44.200

建议

1、不要轻易打开可疑文件，如电子邮件、可疑链接、可疑文档等等。

2、及时安装系统补丁，使用最新版本的软件。

3、安装杀毒软件，及时更新病毒库。

参考

有关IOC的可下载副本，请参阅MAR-10135536-8.v3.stix（https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-8.v3.stix.xml）

文章整理自：https://www.us-cert.gov/ncas/analysis-reports/ar20-045g?from=timeline

上一篇：DarkHotel “双星”0day漏洞攻击IOC

下一篇：针对近期借用我国疫情事件发起的APT组织分析