众所周知，高级持续性威胁（APT）组织对于世界任何一个国家的网络安全无疑都是重大威胁，特别是那些受到国家政府支持的APT组织。

在所有APT组织中，疑似来自朝鲜的“Hidden Cobra”尤为活跃，其主要攻击目标均为美国及全球重要行业，如航天、通信、金融等。

2017年，FortiGuard威胁研究与响应实验室曾分析过一款疑似由APT组织开发的名为“FALLCHILL”的远控木马，近日，他们捕获到另一款与FALLCHILL有诸多相似之处的远控木马（“NukeSped”）样本，认为其很有可能由Hidden Cobra开发。

远控木马样本概述

FortiGuard 实验室分析的 RAT 样本摘要如下：

图1. 远程控制木马样本

总体来看远程木马软件，大部分样本均具有以下相似特征：

除此之外，它们的代码非常相似：

图 2. 代码重用

一般来说，资源部分会提供很多恶意软件来源的线索，例如NukeSped中的语言ID。

图 3. 语言 ID

可以看到，每个样本在资源部分都有一个语言ID，大部分都是“1042”。

图4. 大多数样本的语言ID为“1042”

根据微软发布的“语言标识符常量和字符串”远程木马软件，1042（0x0412）是韩语语言标识符。

图 5.LANG_KOREAN

远程控制木马的功能

NukeSped 旨在动态解析函数并加密 API 名称以阻碍静态分析。

图6.解密后的API

图 7. 函数表

图 8 主 DLL

为了在受感染的机器上实现持久驻留，NukeSped 将自身插入到“运行”注册表项中。

图 9. 持久性

此外，它可以将自身安装为一项服务。

图 10. 服务

通过逆向工程，FortiGuard 实验室找到了用于解码字符串的算法。

图 11. 解码例程

显然，NukeSped 使用了基于 XOR 的自定义加密算法。

有了这些信息，就可以使用 encodeCmd 来解密来自远程攻击者的命令。

图12.解密命令

图 13. Shell 逻辑

与典型的 RAT 一样，NukeSped 会监听传入的命令，执行这些命令，然后做出响应。完整的控制流图 (CFG) 如下所示：

图 14. 控制流图 (CFG)

通过对上图逻辑进行逆向工程，FortiGuard实验室发现了许多典型的远控木马功能：

远程控制木马归因

NukeSped 加密字符串的模式、API 加载字符串的方式、函数表和主要函数都让人联想到 FALLCHILL。

图 15：FALLCHILL 中的 Shell 逻辑

此外，它们都具有类似于以下的加密 blob，以及相同的文件名引用。

图 16. 加密 Blob

图 17. 文件名

最后，NukeSped 的大部分样本（约 70%）都包含韩文。

鉴于以上证据，FortiGuard 实验室认为 NukeSped 很可能是由 HIDDEN COBRA 创建。