安恒信息APT產(chǎn)品監(jiān)控到持續(xù)性有組織的"基于破殼漏洞的跨平
責(zé)編:admin |2014-12-11 19:02:54日前,安恒信息在某政府機(jī)構(gòu)網(wǎng)絡(luò)中部署的APT產(chǎn)品監(jiān)控到了多次"CVE-2014-6271 bash遠(yuǎn)程命令執(zhí)行漏洞"告警,攻擊源來自意大利、臺(tái)北、奧地利、挪威、希臘、澳大利亞等多個(gè)國(guó)家,且請(qǐng)求報(bào)文中的Host值為"127.0.0.1",初步判斷為一起利用僵尸網(wǎng)絡(luò)發(fā)起的"惡意攻擊"。
進(jìn)一步對(duì)APT產(chǎn)品上捕獲到的數(shù)據(jù)包進(jìn)行分析后,研究人員發(fā)現(xiàn)這次攻擊事件主要是基于bash漏洞植入的IRC-BOT進(jìn)行跨平臺(tái)攻擊。
BASH腳本分析
首先,攻擊者會(huì)從hxxp://183.14.***.***/ *s0.sh下載sh腳本并運(yùn)行:
對(duì)這個(gè)sh腳本進(jìn)行下載分析發(fā)現(xiàn),該腳本由攻擊者精心構(gòu)造,可以實(shí)現(xiàn)針對(duì)多種類型平臺(tái)的攻擊,包括有arm、linux -x86、linux-x64,基本的攻擊思路為:首先判斷平臺(tái)類型,然后修改用戶DNS為8.8.8.8, 再針對(duì)不同平臺(tái)下載相應(yīng)的惡意程序,以達(dá)到惡意攻擊的目的。
如果被攻擊的平臺(tái)上是arm架構(gòu),首先會(huì)從制定的地址Hxxp://185.14.xxx.xxx/.cgi和Hxxp://185.14.xxx.xxx/armgH.cgi下載arm架構(gòu)下的IRC-bot,并寫入自啟動(dòng),然后又會(huì)從http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/unstable/ipkg-opt_0.99.163-10_arm.ipk 下載ipkg(ipkg是一個(gè)軟件安裝管理工具),最后使用ipkg安裝openssh,并把ssh的端口改為26。攻擊代碼部分截圖如下:
接著新建了一個(gè)叫做"request"的用戶名,設(shè)置預(yù)定義的密碼,然后利用該用戶獲取目標(biāo)服務(wù)器的權(quán)限。
攻擊者為了避免被發(fā)現(xiàn)達(dá)到對(duì)系統(tǒng)長(zhǎng)期占用的目的,它中完了botnet后,還給有問題的系統(tǒng)打了BASH補(bǔ)丁。
最后還下載了叫做run的bash腳本,腳本內(nèi)容如下
這個(gè)run腳本主要作用是下載叫pnscan的惡意程序,它主要是掃描程序,從調(diào)用參數(shù)可以看見它是全網(wǎng)段掃描的,實(shí)現(xiàn)對(duì)更多的主機(jī)進(jìn)行攻擊。另外按照bash漏洞出來的時(shí)間可以推測(cè)出這個(gè)腳本是2014-12-3日編寫。
IRC-BOT分析:
通過分析研究人員發(fā)現(xiàn)上面提到的惡意軟件都是功能相同架構(gòu)不同的IRC-BOT,它們都使用了upx進(jìn)行加密。
首先脫殼,然后能解密出兩個(gè)惡意的irc服務(wù)器地址
174.140.xxx.188:26667
216.55.xxx.182:26664
接著被感染的設(shè)備會(huì)登入到irc服務(wù)器上等待接受指令。
部分指令截圖:
具體含義是:
.login 登入
.logout 等出
.advscan 掃描
.exec 執(zhí)行系統(tǒng)命令
.version 顯示版本
.status 顯示狀態(tài)
.help 打印幫助
.stop 停止
.spoof 設(shè)置攻擊ip
.synflood syn包洪水攻擊
.ngsynflood gsyn包洪水攻擊
.ackflood ack 包洪水攻擊
.ngackflood ngack包洪水攻擊
經(jīng)過對(duì)事件進(jìn)行關(guān)聯(lián)分析發(fā)現(xiàn),該攻擊事件最早起始于2014年12月5號(hào),且截止發(fā)稿前攻擊事件仍在持續(xù),因此基本確認(rèn)該事件是一起"持續(xù)性的有組織攻擊"。
安恒信息研究人員已第一時(shí)間通知該政府機(jī)構(gòu),對(duì)該事件進(jìn)行處理,將攻擊的影響降低到最小,同時(shí)安恒信息建議各位用戶及時(shí)關(guān)注最新安全漏洞,采用全面的安全防護(hù)方案,包括各種已知和未知攻擊的防護(hù),實(shí)時(shí)感知最新的安全狀況,以采取針對(duì)性的安全防護(hù)措施。
建議關(guān)注安恒信息網(wǎng)站安全風(fēng)暴中心官方微信號(hào),及時(shí)獲取最新安全漏洞資訊:DBAPP2013
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!