注意防范来自朝鲜的恶意软件HOPLIGHT
字数 1656 2025-08-18 11:38:32

HOPLIGHT恶意软件分析与防护指南

一、事件背景

HOPLIGHT是由朝鲜黑客组织HIDDEN COBRA(又称Lazarus Group)使用的新型恶意软件,美国政府将其归类为"非常强大的后门木马"。该恶意软件最早于2019年被发现并报告,具有高度隐蔽性和持久性。

二、技术分析

2.1 样本主体行为

  1. 提权操作

    • 运行后首先尝试获取SeDebugPrivilege权限
    • 若提权失败(非管理员权限),则直接退出程序

  2. 系统兼容性检查

    • 判断系统版本,主要针对Windows 7及以上64位操作系统
    • 为后续进程注入选择适当的注入函数

  3. 文件释放

    • 在系统目录下释放两个文件:
      • c:\windows\udbcgiut.dat(数据文件)
      • c:\windows\system32\rdpproto.dll(DLL木马文件)

  4. 持久化机制

    • 修改注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SecurityPackages
    • 添加"rdpproto"字段,使系统重启时lsass.exe自动加载rdpproto.dll

  5. 进程注入

    • 遍历系统进程获取lsass.exe的PID
    • 将rdpproto.dll注入到lsass.exe进程
    • 使用RtlCreateUserThread函数远程创建线程
    • 通过LoadLibrary加载rdpproto.dll
    • 样本主体执行退出操作

2.2 木马DLL文件(rdpproto.dll)分析

  1. 资源加载

    • 从DLL文件资源中加载类型为"PICKER"的资源
    • 该资源是另一个加密的DLL木马文件(用于规避杀毒软件检测)

  2. 解密过程

    • 使用XOR算法解密资源数据
    • 获得最终的功能性DLL木马文件

  3. 内存加载

    • 通过call rax指令调用DLL入口函数DllEntryPoint
    • 直接在内存中执行,不落地

2.3 功能性DLL木马分析

  1. 初始化操作

    • 修复导入表
    • 检查udbcgiut.dat文件是否存在

  2. 隐蔽性增强

    • 从lsass进程中卸载注入的rdpproto.dll
    • 木马功能完全在内存中运行

  3. C&C通信

    • 从udbcgiut.dat解密获取C&C服务器IP和端口
    • 示例解密出的C&C地址:81.94.192.10:443
    • 使用socket函数与C&C服务器建立连接

  4. 功能实现

    • 持续收集受害者系统信息并发送给C&C服务器
    • 接收并执行C&C服务器指令
    • 功能包括:
      • 文件操作
      • 进程操作
      • 服务操作
      • 注册表操作

三、威胁指标(IOCs)

3.1 IP地址

112.175.92.57
113.114.117.122
128.200.115.228
137.139.135.151
181.39.135.126
186.169.2.237
197.211.212.59
21.252.107.198
26.165.218.44
47.206.4.145
70.224.36.194
81.94.192.10
81.94.192.147
84.49.242.125
97.90.44.200

3.2 文件哈希
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四、防护措施

  1. 用户行为防护

    • 不要打开可疑文件(电子邮件附件、文档等)
    • 避免点击可疑链接
    • 对未知来源的文件保持高度警惕

  2. 系统防护

    • 及时安装系统补丁和更新
    • 使用最新版本的软件和应用
    • 安装并更新杀毒软件病毒库

  3. 高级威胁检测

    • 部署"铁穹高级持续性威胁预警系统"(简称"铁穹")
    • 监控异常进程行为(特别是lsass.exe的异常模块加载)
    • 检测注册表关键位置的异常修改

  4. 网络防护

    • 监控与已知恶意IP的通信
    • 阻止对可疑IP地址(特别是IoC列表中的地址)的出站连接
    • 检查加密通信中的异常模式

  5. 应急响应

    • 定期检查系统目录下的可疑文件(如udbcgiut.dat、rdpproto.dll)
    • 监控注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SecurityPackages的修改
    • 对lsass.exe进程的异常行为进行深入分析

五、总结

HOPLIGHT是一种高度隐蔽的后门木马,具有以下特点:

  • 利用进程注入技术(lsass.exe)实现持久化
  • 采用多层加密和内存驻留技术规避检测
  • 通过注册表修改实现自启动
  • 具备完整的信息收集和远程控制能力

防护此类高级威胁需要结合技术防护手段和用户安全意识教育,建立多层防御体系,才能有效降低风险。

HOPLIGHT恶意软件分析与防护指南 一、事件背景 HOPLIGHT是由朝鲜黑客组织HIDDEN COBRA(又称Lazarus Group)使用的新型恶意软件,美国政府将其归类为"非常强大的后门木马"。该恶意软件最早于2019年被发现并报告,具有高度隐蔽性和持久性。 二、技术分析 2.1 样本主体行为 提权操作 : 运行后首先尝试获取SeDebugPrivilege权限 若提权失败(非管理员权限),则直接退出程序 系统兼容性检查 : 判断系统版本,主要针对Windows 7及以上64位操作系统 为后续进程注入选择适当的注入函数 文件释放 : 在系统目录下释放两个文件: c:\windows\udbcgiut.dat (数据文件) c:\windows\system32\rdpproto.dll (DLL木马文件) 持久化机制 : 修改注册表项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SecurityPackages 添加"rdpproto"字段,使系统重启时lsass.exe自动加载rdpproto.dll 进程注入 : 遍历系统进程获取lsass.exe的PID 将rdpproto.dll注入到lsass.exe进程 使用RtlCreateUserThread函数远程创建线程 通过LoadLibrary加载rdpproto.dll 样本主体执行退出操作 2.2 木马DLL文件(rdpproto.dll)分析 资源加载 : 从DLL文件资源中加载类型为"PICKER"的资源 该资源是另一个加密的DLL木马文件(用于规避杀毒软件检测) 解密过程 : 使用XOR算法解密资源数据 获得最终的功能性DLL木马文件 内存加载 : 通过call rax指令调用DLL入口函数DllEntryPoint 直接在内存中执行,不落地 2.3 功能性DLL木马分析 初始化操作 : 修复导入表 检查udbcgiut.dat文件是否存在 隐蔽性增强 : 从lsass进程中卸载注入的rdpproto.dll 木马功能完全在内存中运行 C&C通信 : 从udbcgiut.dat解密获取C&C服务器IP和端口 示例解密出的C&C地址:81.94.192.10:443 使用socket函数与C&C服务器建立连接 功能实现 : 持续收集受害者系统信息并发送给C&C服务器 接收并执行C&C服务器指令 功能包括: 文件操作 进程操作 服务操作 注册表操作 三、威胁指标(IOCs) 3.1 IP地址 3.2 文件哈希 四、防护措施 用户行为防护 : 不要打开可疑文件(电子邮件附件、文档等) 避免点击可疑链接 对未知来源的文件保持高度警惕 系统防护 : 及时安装系统补丁和更新 使用最新版本的软件和应用 安装并更新杀毒软件病毒库 高级威胁检测 : 部署"铁穹高级持续性威胁预警系统"(简称"铁穹") 监控异常进程行为(特别是lsass.exe的异常模块加载) 检测注册表关键位置的异常修改 网络防护 : 监控与已知恶意IP的通信 阻止对可疑IP地址(特别是IoC列表中的地址)的出站连接 检查加密通信中的异常模式 应急响应 : 定期检查系统目录下的可疑文件(如udbcgiut.dat、rdpproto.dll) 监控注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SecurityPackages 的修改 对lsass.exe进程的异常行为进行深入分析 五、总结 HOPLIGHT是一种高度隐蔽的后门木马,具有以下特点: 利用进程注入技术(lsass.exe)实现持久化 采用多层加密和内存驻留技术规避检测 通过注册表修改实现自启动 具备完整的信息收集和远程控制能力 防护此类高级威胁需要结合技术防护手段和用户安全意识教育,建立多层防御体系,才能有效降低风险。