一些APT攻擊案例分享
責編:admin |2015-01-16 14:01:312014年我們所知的所有網絡攻擊,實際上還只是冰山一角,未來的網絡空間將出現更多錯綜復雜、有組織性甚至是由敵對國家發起的網絡襲擊。APT攻擊事件目前趨于爆發式增長,有些黑客秘密潛入重要系統竊取重要情報,而且這些網絡間諜行動往往針對國家重要的基礎設施和單位進行,包括能源、電力、金融、國防等;有些則屬于商業黑客犯罪團伙入侵企業網絡,搜集一切有商業價值的信息。
警惕利用Bash漏洞的IRC-BOT
(1)Bash安全漏洞
繼2014年4月的“Openssl心臟流血”漏洞之后,另一個重大互聯網威脅于2014年9月24日爆發,GNU Bash(Bourne again shell)4.3及之前版本在處理某些構造的環境變量時存在安全漏洞,可能允許攻擊者遠程執行任意命令,GNU Bash漏洞編號為CVE-2014-6271。
經過研究確認,此漏洞可能會影響到使用ForceCommand功能的OpenSSH sshd、使用mod_cgi或mod_cgid的Apache服務器、DHCP客戶端、其他使用bash作為解釋器的應用等。而使用
mod_php/mod_python/mod_perl的Apache httpd不受此問題影響。
百度百科的介紹顯示,Bash(GNU Bourne-Again Shell)是大多數Linux系統以及Mac OS X v10.4默認的shell,它能運行于大多數Unix風格的操作系統之上,甚至被移植到了Microsoft Windows上的Cygwin系統中,以實現Windows的POSIX虛擬接口。此外,它也被DJGPP項目移植到了MS-DOS上。
而Bash的命令語法是Bourne shell命令語法的超集。數量龐大的Bourne
shell腳本大多不經修改即可以在Bash中執行,只有那些引用了Bourne特殊變量或使用了Bourne的內置命令的腳本才需要修改。可以
說,Bash是類Unix系統的核心,如果Bash出現了漏洞,則說明攻擊者可以控制機器一切。
(2)Bash安全漏洞攻擊分析
近期,我們團隊也監控到了大量利用Bash安全漏洞進行的攻擊,我們主要是對這次的攻擊使用的Bash腳本和植入的IRC-BOT進行分析。
Bash腳本分析
我們在預警平臺上發現了攻擊者發送的數據包如下:
攻擊者會從http://183.14.***.***/ *s0.sh下載sh腳本并運行。
攻擊腳本部分截圖如下:
這個sh攻擊腳本針對了多個平臺進行攻擊,包括有arm、linux –x86、linux-x64,但是基本的攻擊思路差不多。
1.它首先修改用戶DNS為8.8.8.8, 然后針對不同平臺下載不同惡意程序。
2.當被攻擊的平臺上是arm架構時,它首先從地址:
下載arm架構下的IRC-bot,并寫入自啟動。
3.從http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/unstable/ipkg-opt_0.99.163-10_arm.ipk 下載ipkg(ipkg是一個軟件安裝管理工具)
4.使用ipkg安裝openssh,并把ssh的端口改為26。攻擊代碼部分截圖如下:
5.當被攻擊的平臺上是linux-x86時:
它和arm差不多,只不過是從
下載linux-x86架構下的IRC-bot,其他都操作一樣 。
6.當被攻擊的平臺上是linux-x64時:
它依然上面的一樣,下載地址變成了:
其他都操作一樣。
7.接著新建了一個叫做“request”的用戶名,密碼未知(暫時未破解)。
在twitter上我們看見有人公開發現是在12月5日。
攻擊者為了達到對系統長期的占用,將系統植入木馬成為僵尸網絡的一部分后,還給有問題的系統打了Bash補丁。
最后還下載了叫做run的bash腳本,腳本內容如下
這個run腳本主要作用是下載叫pnscan的惡意程序,它主要是掃描程序,從調用參數可以看見它是全網段掃描的。
按照Bash漏洞出來的時間可以推測出這個腳本是2014-12-3日編寫。
IRC-BOT分析
通過簡單的分析我們發現上面提到的惡意軟件都是功能相同架構不同的IRC-BOT,它們都使用了upx進行加密
首先脫殼,然后能解密出兩個惡意的irc服務器地址
接著被感染的設備會登入到irc服務器上等待接受指令,部分指令截圖:
具體含義是:
在分析的過程中我們發現它是某個開源的程序,由于危害性我們就不給出鏈接了。
(3)盡快升級Bash
提醒用戶按照GUN Bash官方指導意見進行升級:
我們發現有對其服務設備通過yum命令對GUN bash升級版本的時候由于yum鏡像點沒有更新,而且不同的linux發行版本更新命令也不一樣,導致升級失敗或者升級過程中體驗不佳。經安全信息服務中心團隊多次測試,建議有相同問題的其他客戶通過iptables來對bash漏洞進行阻斷,該方法適用于所有linux的發行版本:
兩條命令如下:
警惕Asprox蠕蟲爆發
(1)Asprox僵尸網絡兇猛來襲
安恒團隊在多臺APT攻擊預警平臺的設備上發現了Asprox蠕蟲,最早發現是2014年9月某科研機構的APT郵件檢測系統中發現了該蠕蟲的告警消息。
接下來的幾個月從在不同的地都收到樣本反饋。
該僵尸網絡在曾在國外大勢傳播,近期出現在國內,需要引起高度的重視。在此提醒廣大用戶,在收到類似郵件時,千萬不要點擊運行附件程序。
(2)Asprox攻擊技術細節分析
1、外部觀察
攻擊者偽裝成航空公司服務人員,發送了一封待處理訂單的郵件。
解壓縮郵件附件后,可以看見可疑文件使用了和word文檔一樣的圖標,顯然它想把自己偽裝成word文檔,
為了偽裝的更隱藏一些,用戶雙擊運行后,它會彈出如下具有欺騙性的告警消息,讓人誤以為文檔損壞。
實際上它早已將惡意代碼注入到svchost.exe里面運行。
在我們APT預警平臺的抓獲的風險日志中也能看見它的惡意行為。
2、內部剖析
為了方便理解,我們先畫出了整個攻擊流程
該惡意程序DeltaTicket的外殼代碼部分包含了大量‘垃圾’代碼,在多次異或解密后,它使用函數RtlDecompressBuffer在內存中解壓出一個惡意的dll文件。
該dll文件在整個程序的運行過程中并不會釋放處理,而是把它注入到新建的svchost進程中,從而實現在內存中動態加載運行。
其關鍵注入惡意代碼的流程如下:
接著新建的svhost會拷貝自身到% App Data%目錄,即:
%App Data%jgajbltl.exe(名字是隨機的)
并檢測自己是否已經寫入自啟動,如果沒,便寫入如下路徑:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
接著構造類是于如下的XLM格式的字符串:
id的值是 $MD5(SID+installDate+user name) ,其他的標識是它的版本信息等。
然后使用RSA算法加密該xml格式的數據,RSA加密的公鑰是:
將加密的數據發送到之前解密的URL,然后等待從這些服務器發送的指令。
通過分析發現關鍵指令,其偽代碼的如下:
具體指令的含義是:
(3)Asprox排查方法
1. 檢查系統進程中是否有以普通用戶啟動的scvhost進程。
2. 檢查系統檢查系統%AppData%目錄是否存在未知的可執行文件
注意:
a) Windows 7下%AppData%的路徑是:C:Users<用戶名>AppDataRoaming
b) Windows XP下%AppData%的路徑是:C:Documents and Settings<用戶名>Application Data
3. 檢查系統注冊表
HKCUSoftwareMicrosoftWindowsCurrentVersionRun中是否存在可疑文件名。