2014网络安全APT攻击专题分析
1.警惕利用Bash漏洞的IRC-BOT
- 什么是Bash安全漏洞
继2014年4月的“Openssl心脏流血”漏洞之后,另一个重大互联网威胁于2014年9月24日爆发,GNU Bash(Bourne again shell)4.3及之前版本在处理某些构造的环境变量时存在安全漏洞,可能允许攻击者远程执行任意命令,GNUBash漏洞编号为CVE-2014-6271。
漏洞跟踪:美国国土安全部的国家网络安全部门对“Shellshock”的可利用性打分为10分(总分10分),影响打分为10分(总分10分),总体严重性的打分也是10分,即最具破坏力的评分。相比之下,“心脏出血”只得到5分。2014年9月24日,国外媒体爆出一个广泛存在于Linux系统中的Bash软件漏洞,并称之为: shellshock,国内中文名为:”破壳”,CVE漏洞编号: CVE-2014-62712014年9月25日,GNU Bash官方发布解决补丁,随后不久,国外安全研究员称已经绕过该补丁,从而导致该漏洞一直处于未修补状态2014年9月26日,红帽安全团队感到漏洞的危害性,为shellshock漏洞的绕过创建新的漏洞编号 CVE-2014-7169,同时发布新的补丁。2014年9月27日,GNU Bash已经给出最新的升级补丁,大家针对不同的版本尽快进行升级。升级补丁: http://ftp.gnu.org/pub/gnu/Bash/ |
|---|
经过研究确认,此漏洞可能会影响到使用ForceCommand功能的OpenSSHsshd、使用mod_cgi或mod_cgid的Apache服务器、DHCP客户端、其他使用bash作为解释器的应用等。而使用mod_php/mod_python/mod_perl的Apache httpd不受此问题影响。
百度百科的介绍显示,Bash(GNU Bourne-AgainShell)是大多数Linux系统以及Mac OS Xv10.4默认的shell,它能运行于大多数Unix风格的操作系统之上,甚至被移植到了Microsoft Windows上的Cygwin系统中,以实现Windows的POSIX虚拟接口。此外,它也被DJGPP项目移植到了MS-DOS上。
而Bash的命令语法是Bourne shell命令语法的超集。数量庞大的Bourne shell脚本大多不经修改即可以在Bash中执行,只有那些引用了Bourne特殊变量或使用了Bourne的内置命令的脚本才需要修改。可以说,Bash是类Unix系统的核心,如果Bash出现了漏洞,则说明攻击者可以控制机器一切。
漏洞原理:漏洞的根本原因在于Bash对环境变量的解析操作不当,在定义导出函数的处理流程中,Bash执行并未退出,而是继续解析和执行shell命令,其实在正常情况中Bash shell是允许用户用分号来分割执行多句命令,而对于场景的变化,开发人员却并没有转变,在函数定义的环节,仍然可以用分号来执行后续命令,从而导致代码执行漏洞的产生;而就在改漏洞修复的同时,CVE-2014-7169又被爆出来,关键是这个POC完全杜绝了分号,利用解析出错和Bash换行符的特点,十分巧妙的绕过补丁,所以总的说来,对于这个漏洞的利用需要注意下面三个特殊点:1 在Bash中定义函数,这个是触发漏洞的原因,这是为什么POC都是以:”() {”开头2 利用分号构造执行代码,这个主要是引入攻击者需要执行的代码 |
|---|
- Bash安全漏洞攻击分析
近期,安恒信息安全研究院也监控到了大量利用Bash安全漏洞进行的攻击,我们主要是对这次的攻击使用的Bash脚本和植入的IRC-BOT进行分析。
Bash脚本分析
我们在明御®APT攻击(网络战)预警平台上发现了攻击者发送的数据包如下:
攻击者会从http://183.14.***.***/ *s0.sh下载sh脚本并运行。
攻击脚本部分截图如下:
这个sh攻击脚本针对了多个平台进行攻击,包括有arm、linux –x86、linux-x64,但是基本的攻击思路差不多。
1.它首先修改用户DNS为8.8.8.8, 然后针对不同平台下载不同恶意程序。
2.当被攻击的平台上是arm架构时,它首先从地址:
http://185.14.xxx.xxx/.cgihttp://185.14.xxx.xxx/armgH.cgi |
|---|
下载arm架构下的IRC-bot,并写入自启动。
3.从http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/unstable/ipkg-opt_0.99.163-10_arm.ipk下载ipkg(ipkg是一个软件安装管理工具)
4.使用ipkg安装openssh,并把ssh的端口改为26。攻击代码部分截图如下:
5.当被攻击的平台上是linux-x86时:
它和arm差不多,只不过是从
http://185.14.xxx.xxx/..32http://185.14.xxx.xxx/gH.cgi (gci backdoor) |
|---|
下载linux-x86架构下的IRC-bot,其他都操作一样 。
6.当被攻击的平台上是linux-x64时:
它依然上面的一样,下载地址变成了:
http://185.14.xxx.xxx/..64http://185.14.xxx.xxx/64.cgi |
|---|
其他都操作一样。
7.接着新建了一个叫做“request”的用户名,密码未知(暂时未破解)。
在twitter上我们看见有人公开发现是在12月5日。
攻击者为了达到对系统长期的占用,将系统植入木马成为僵尸网络的一部分后,还给有问题的系统打了Bash补丁。
最后还下载了叫做run的bash脚本,脚本内容如下
这个run脚本主要作用是下载叫pnscan的恶意程序,它主要是扫描程序,从调用参数可以看见它是全网段扫描的。
按照Bash漏洞出来的时间可以推测出这个脚本是2014-12-3日编写。
IRC-BOT分析
通过简单的分析我们发现上面提到的恶意软件都是功能相同架构不同的IRC-BOT,它们都使用了upx进行加密
首先脱壳,然后能解密出两个恶意的irc服务器地址
174.140.xxx.188:26667216.55.xxx.182:26664 |
|---|
接着被感染的设备会登入到irc服务器上等待接受指令,部分指令截图:
具体含义是:
.login 登入 .logout 等出.advscan 扫描.exec 执行系统命令.version 显示版本.status 显示状态.help 打印帮助.stop 停止.spoof 设置攻击ip.synflood syn包洪水攻击.ngsynflood gsyn包洪水攻击.ackflood ack 包洪水攻击.ngackflood ngack包洪水攻击 |
|---|
在分析的过程中我们发现它是某个开源的程序,由于危害性我们就不给出链接了。
- 尽快升级Bash
安恒信息研究院提醒用户按照GUN Bash官方指导意见进行升级:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.gnu.org/software/bashhttp://ftp.gnu.org/gnu/bash/升级bash,升级命令为:sudo apt-get update && sudo apt-get install --only-upgrade bash |
|---|
安恒信息服务中心团队在对客户进行技术支持的过程中,发现有对其服务设备通过yum命令对GUN bash升级版本的时候由于yum镜像点没有更新,而且不同的linux发行版本更新命令也不一样,导致升级失败或者升级过程中体验不佳。经安全信息服务中心团队多次测试,建议有相同问题的其他客户通过iptables来对bash漏洞进行阻断,该方法适用于所有linux的发行版本:
两条命令如下:
iptables -I INPUT -m string --algo kmp --hex-string '|28 29 20 7B|' -j DROPservice iptables save |
|---|
同时安恒信息研发中心迅速组织经验丰富的开发团队,对明鉴和明御两大系列产品进行策略升级,用户在升级安恒信息的产品后能快速识别或防御该漏洞信息。如网站用户可以升级明鉴WEBSCAN扫描器进行扫描GUN Bash漏洞,升级明御WEB应用防火墙可以防护该漏洞;系统运维人员可以使用明鉴等保检查工具箱中系统漏洞检查工具批量检查Linux服务器是否存在Bash漏洞。
2.警惕Asprox蠕虫爆发
- Asprox僵尸网络凶猛来袭
安恒信息安全研究院在多台部署了明御®APT攻击(网络战)预警平台的设备上发现了Asprox蠕虫,最早发现是2014年9月某科研机构的APT邮件检测系统中发现了该蠕虫的告警消息。
接下来的几个月从在不同的地都收到样本反馈。
该僵尸网络在曾在国外大势传播,近期出现在国内,需要引起高度的重视。安恒信息在此提醒广大用户,在收到类似邮件时,千万不要点击运行附件程序。
Asprox僵尸网络概述:Asprox以发送伪装成来自快递公司(像是FedEx、DHL和美国邮局)的垃圾邮件(SPAM)而著称。Asprox恶意软件系列影响了近2000家不同的组织机构,该恶意软件已危害网络用户数年,并多次试图损害基础架构。虽然Asprox僵尸网络只在过去几年间被偶尔的提到,但其他类似手法的攻击活动,还有利用知名航空公司的假机票诈骗(像是达美航空和美国航空)都受到相当的关注。 |
|---|
- Asprox攻击技术细节分析
1、外部观察
攻击者伪装成航空公司服务人员,发送了一封待处理订单的邮件。
解压缩邮件附件后,可以看见可疑文件使用了和word文档一样的图标,显然它想把自己伪装成word文档,
为了伪装的更隐藏一些,用户双击运行后,它会弹出如下具有欺骗性的告警消息,让人误以为文档损坏。
实际上它早已将恶意代码注入到svchost.exe里面运行。
在我们APT预警平台的抓获的风险日志中也能看见它的恶意行为。
2、内部剖析
为了方便理解,我们先画出了整个攻击流程
(整个攻击流程)
该恶意程序DeltaTicket的外壳代码部分包含了大量‘垃圾’代码,在多次异或解密后,它使用函数RtlDecompressBuffer在内存中解压出一个恶意的dll文件。
该dll文件在整个程序的运行过程中并不会释放处理,而是把它注入到新建的svchost进程中,从而实现在内存中动态加载运行。
其关键注入恶意代码的流程如下:
(注:大量恶意软件都使用了类似)
接着新建的svhost会拷贝自身到% App Data%目录,即:
%App Data%\jgajbltl.exe(名字是随机的)
并检测自己是否已经写入自启动,如果没,便写入如下路径:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
接着使用RC4算法解密出如下URL: http://37.35.xxx.208:8080/index.phphttp://217.106.xxx.145:443/index.phphttp://82.116.xxx.16:443/index.phphttp://209.170.xxx.163:8080/index.phphttp://82.116.xxx.16:443/index.phphttp://222.124.xxx.12:443/index.phphttp://202.185.xxx.50:8080/index.php其中RC4解密的密钥是:“k0a77ofxCH” |
|---|
接着构造类是于如下的XLM格式的字符串:
<knock> <id>D0B185AA9ACFB4A68C763E969594A525</id> <group>0809s</group> <src>3</src> <transport>0</transport> <time>1790432824</time> <version>2049</version> <status>0</status> <debug>none.none.none</debug></knock> |
|---|
id的值是 $MD5(SID+installDate+user name) ,其他的标识是它的版本信息等。
然后使用RSA算法加密该xml格式的数据,RSA加密的公钥是:
将加密的数据发送到之前解密的URL,然后等待从这些服务器发送的指令。
通过分析发现关键指令,其伪代码的如下:
具体指令的含义是:
Idl 等待任务run 运行rem 卸载ear 下载运行rdl 注入到svchost运行upd 更新自身red 修改注册表 |
|---|
- Asprox排查方法
- 检查系统进程中是否有以普通用户启动的scvhost进程。
2. 检查系统检查系统%AppData%目录是否存在未知的可执行文件
注意:
a) Windows 7下%AppData%的路径是:C:\Users\<用户名>\AppData\Roaming
b) Windows XP下%AppData%的路径是:C:\Documents and Settings\<用户名>\ApplicationData
3. 检查系统注册表
HKCU\Software\Microsoft\Windows\CurrentVersion\Run中是否存在可疑文件名。