360网络安全研究院（360Netlab）于近日发文称，他们在10月25日发现了一个可疑的ELF文件（80c0efb9e129f7f9b05a783df6959812），并在随后发现了它与朝鲜黑客组织“拉撒路”之间的关联。

进一步分析表明，该文件实际上是一款功能完善、行为隐蔽的模块化远控木马，且分为windows和linux两个版本。其中，Linux版本包含有6个插件模块，分别负责执行不同的任务：执行命令、文件管理、进程管理、测试网络访问、C2连接代理和网络扫描。

根据文件名和硬编码的字符串，360Netlab决定将此新型远控木马命名为“Dacls”（Win32.Dacls和Linux.Dacls），而这也是首次观察到“拉撒路”组织将Linux主机列为攻击目标。

“拉撒路”什么来头？

拉撒路，由Lazarus音译而来，也被称为HIDDEN COBRA、GUARDIANS OF PEACE、ZINC或NICKEL ACADEMY，被认为是目前全球规模最大、最为活跃的黑客组织之一，且被指得到了朝鲜政府的支持。

据称，该组织自2009年以来就一直处于活跃状态，且与多起轰动一时的网络攻击事件有关，包括2014年索尼影业被黑事件、2016年孟加拉国银行网络攻击事件，以及2017年WannaCry勒索软件事件。

恶意文件托管服务器

通过寻线追踪，360Netlab成功发现了一台托管有Win32.Dacls和Linux.Dacls的服务器。除Dacls远控木马外，这台服务器还托管有其他一些样本，如开源程序Socat（命令行工具）以及Confluence CVE-2019-3396漏洞利用脚本。

Linux.Dacls样本分析

如上所述，Linux.Dacls包含有6个插件模块，分别负责执行不同的任务：执行命令、文件管理、进程管理、测试网络访问、C2连接代理和网络扫描。

初始化行为

启动后，Linux.Dacls会以daemon方式在后台运行，并通过启动参数“/pro”、Bot PID文件“/var/run/init.pid”和Bot进程名“/proc/<pid>/cmdline”，来区分不同运行环境（可能是用于Bot程序升级）。

C2协议

Linux.Dacls和C2通信主要分为三个阶段，并采用了TLS和RC4双层加密算法，保障数据通信安全。

第一阶段是建立TLS连接；第二阶段是双方协议认证过程（Malware Beaconing）；第三阶段是Bot发送RC4加密后的数据。

Bash插件

Bash插件主要支持两个功能：一是接收C2服务器的下发的系统命令并执行；二是C2通过指令下发临时C2，Bot然后连接到临时C2并执行临时C2下发的系统命令。

File插件

File插件主要功能是文件管理，除了支持对文件的读/写/删除/查找操作，还可以从指定的服务器下载文件。

Process插件

Process插件的主要功能是进程管理，包括杀死指定进程、创建daemon进程、获得当前进程的PID和PPID，以及获取进程列表信息。

Test插件

Test插件的主要功能是通过连接C2指定的IP地址和端口，测试其网络连通性。

Reverse P2P插件

Reverse P2P插件实际上是一种C2连接代理（Connection Proxy），它通过下发控制命令可以将指定的C2数据完整的转发到指定IP端口。

LogSend插件

LogSend插件的主要功能有三个：一是测试连接Log服务器，二是随机扫描全网8291端口并上报给Log服务器，三是执行耗时较长的系统命令并将控制台输出结果实时上报给Log服务器。

安全建议

360Netlab建议Confluence用户应及时更新补丁，并可以根据Dacls远控木马所创建的进程、文件名以及TCP网络连接特征来判断自己的系统是否已经遭到感染，然后有针对性地清理相关进程和文件。