你的IDA 可能被植入後門了!

2021年11月10日國外安全廠商ESET 曝光了北韓APT組織Lazarus 一項攻擊活動:

你的IDA 可能被植入後門了!

ESET 指出,Lazarus 組織使用了兩個後門檔案的IDA Pro 7.5 軟體,針對安全研究人員進行攻擊。

IDA(Interactive Disassembler)是Hex-Rayd 公司發布的一款世界頂級的反組譯工具,經常被國內外的安全研究人員用於二元分析逆向等用途。

你的IDA 可能被植入後門了!

你的IDA 可能被植入後門了!

ESET 介紹到, 攻擊者用惡意DLL 檔案取代了在IDA Pro 安裝期間執行的內部元件win_fw.dll,惡意的win_fw.dll 會建立一個Windows 排程任務,該任務會從IDA 外掛程式資料夾中啟動第二個惡意元件idahelper.dll

你的IDA 可能被植入後門了!

啟動後,idahelper.dll 會嘗試從指定位址下載並執行下一階段的payload

你的IDA 可能被植入後門了!

請裝有洩漏版IDA的同學自行檢查

win_fw.dll

A8EF73CC67C794D5AA860538D66898868EE0BEC0

idahelper.dll

DE0E23DB04A7A780A640C656293336F80040F387

在本機中定期擷取流量資料包查詢是否有存取相關攻擊使用的網域:devguardmap[.]org

目前,該樣本也已經公佈:

https://github.com/blackorbird/APT_REPORT/tree/master/lazarus/sample

https://www.virustotal.com/gui/file/fe80e890689b0911d2cd1c29196c1dad92183c40949fe6f8c39deec8e745de7f/detection

此外,目前不排除MAC 版本的IDA 是否有類似的問題,請使用破解版的同學自行檢查

其實,此類專門針對於安全人員的攻擊,已經不算稀奇事件,之前就有透過社群媒體針對安全研究人員的社會工程攻擊活動的報道,只能說,身為安全人員,自身的安全防護也要做到位,安全意識也要提升,否則你的努力,都會被別人「看」在眼裡!

原创文章,作者:CNCSO,如若转载,请注明出处:https://cncso.com/tw/ida-may-have-been-planted-in-the-back-door-html

讚! (1)
以前的 2021年11月10日下午10:07
下一個 2021年11月11日下午9:57

相關推薦