2014网络安全APT攻击专题分析

1.警惕利用Bash漏洞的IRC-BOT

  • 什么是Bash安全漏洞

继2014年4月的“Openssl心脏流血”漏洞之后,另一个重大互联网威胁于2014年9月24日爆发,GNU Bash(Bourne again shell)4.3及之前版本在处理某些构造的环境变量时存在安全漏洞,可能允许攻击者远程执行任意命令,GNUBash漏洞编号为CVE-2014-6271。

漏洞跟踪:美国国土安全部的国家网络安全部门对“Shellshock”的可利用性打分为10分(总分10分),影响打分为10分(总分10分),总体严重性的打分也是10分,即最具破坏力的评分。相比之下,“心脏出血”只得到5分。2014年9月24日,国外媒体爆出一个广泛存在于Linux系统中的Bash软件漏洞,并称之为: shellshock,国内中文名为:”破壳”,CVE漏洞编号: CVE-2014-62712014年9月25日,GNU Bash官方发布解决补丁,随后不久,国外安全研究员称已经绕过该补丁,从而导致该漏洞一直处于未修补状态2014年9月26日,红帽安全团队感到漏洞的危害性,为shellshock漏洞的绕过创建新的漏洞编号 CVE-2014-7169,同时发布新的补丁。2014年9月27日,GNU Bash已经给出最新的升级补丁,大家针对不同的版本尽快进行升级。升级补丁: http://ftp.gnu.org/pub/gnu/Bash/

经过研究确认,此漏洞可能会影响到使用ForceCommand功能的OpenSSHsshd、使用mod_cgi或mod_cgid的Apache服务器、DHCP客户端、其他使用bash作为解释器的应用等。而使用mod_php/mod_python/mod_perl的Apache httpd不受此问题影响。

百度百科的介绍显示,Bash(GNU Bourne-AgainShell)是大多数Linux系统以及Mac OS Xv10.4默认的shell,它能运行于大多数Unix风格的操作系统之上,甚至被移植到了Microsoft Windows上的Cygwin系统中,以实现Windows的POSIX虚拟接口。此外,它也被DJGPP项目移植到了MS-DOS上。

而Bash的命令语法是Bourne shell命令语法的超集。数量庞大的Bourne shell脚本大多不经修改即可以在Bash中执行,只有那些引用了Bourne特殊变量或使用了Bourne的内置命令的脚本才需要修改。可以说,Bash是类Unix系统的核心,如果Bash出现了漏洞,则说明攻击者可以控制机器一切。

漏洞原理:漏洞的根本原因在于Bash对环境变量的解析操作不当,在定义导出函数的处理流程中,Bash执行并未退出,而是继续解析和执行shell命令,其实在正常情况中Bash shell是允许用户用分号来分割执行多句命令,而对于场景的变化,开发人员却并没有转变,在函数定义的环节,仍然可以用分号来执行后续命令,从而导致代码执行漏洞的产生;而就在改漏洞修复的同时,CVE-2014-7169又被爆出来,关键是这个POC完全杜绝了分号,利用解析出错和Bash换行符的特点,十分巧妙的绕过补丁,所以总的说来,对于这个漏洞的利用需要注意下面三个特殊点:1 在Bash中定义函数,这个是触发漏洞的原因,这是为什么POC都是以:”() {”开头2 利用分号构造执行代码,这个主要是引入攻击者需要执行的代码

  • Bash安全漏洞攻击分析

近期,安恒信息安全研究院也监控到了大量利用Bash安全漏洞进行的攻击,我们主要是对这次的攻击使用的Bash脚本和植入的IRC-BOT进行分析。

Bash脚本分析

我们在明御®APT攻击(网络战)预警平台上发现了攻击者发送的数据包如下:

攻击者会从http://183.14.***.***/ *s0.sh下载sh脚本并运行。

攻击脚本部分截图如下:

这个sh攻击脚本针对了多个平台进行攻击,包括有arm、linux –x86、linux-x64,但是基本的攻击思路差不多。

1.它首先修改用户DNS为8.8.8.8, 然后针对不同平台下载不同恶意程序。

2.当被攻击的平台上是arm架构时,它首先从地址:

http://185.14.xxx.xxx/.cgihttp://185.14.xxx.xxx/armgH.cgi

下载arm架构下的IRC-bot,并写入自启动。

3.从http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/unstable/ipkg-opt_0.99.163-10_arm.ipk下载ipkg(ipkg是一个软件安装管理工具)

4.使用ipkg安装openssh,并把ssh的端口改为26。攻击代码部分截图如下:

5.当被攻击的平台上是linux-x86时:

它和arm差不多,只不过是从

http://185.14.xxx.xxx/..32http://185.14.xxx.xxx/gH.cgi (gci backdoor)

下载linux-x86架构下的IRC-bot,其他都操作一样 。

6.当被攻击的平台上是linux-x64时:

它依然上面的一样,下载地址变成了:

http://185.14.xxx.xxx/..64http://185.14.xxx.xxx/64.cgi

其他都操作一样。

7.接着新建了一个叫做“request”的用户名,密码未知(暂时未破解)。

在twitter上我们看见有人公开发现是在12月5日。

攻击者为了达到对系统长期的占用,将系统植入木马成为僵尸网络的一部分后,还给有问题的系统打了Bash补丁。

最后还下载了叫做run的bash脚本,脚本内容如下

这个run脚本主要作用是下载叫pnscan的恶意程序,它主要是扫描程序,从调用参数可以看见它是全网段扫描的。

按照Bash漏洞出来的时间可以推测出这个脚本是2014-12-3日编写。

IRC-BOT分析

通过简单的分析我们发现上面提到的恶意软件都是功能相同架构不同的IRC-BOT,它们都使用了upx进行加密

首先脱壳,然后能解密出两个恶意的irc服务器地址

174.140.xxx.188:26667216.55.xxx.182:26664

接着被感染的设备会登入到irc服务器上等待接受指令,部分指令截图:

具体含义是:

.login 登入 .logout 等出.advscan 扫描.exec 执行系统命令.version 显示版本.status 显示状态.help 打印帮助.stop 停止.spoof 设置攻击ip.synflood syn包洪水攻击.ngsynflood gsyn包洪水攻击.ackflood ack 包洪水攻击.ngackflood ngack包洪水攻击

在分析的过程中我们发现它是某个开源的程序,由于危害性我们就不给出链接了。

  • 尽快升级Bash

安恒信息研究院提醒用户按照GUN Bash官方指导意见进行升级:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.gnu.org/software/bashhttp://ftp.gnu.org/gnu/bash/升级bash,升级命令为:sudo apt-get update && sudo apt-get install --only-upgrade bash

安恒信息服务中心团队在对客户进行技术支持的过程中,发现有对其服务设备通过yum命令对GUN bash升级版本的时候由于yum镜像点没有更新,而且不同的linux发行版本更新命令也不一样,导致升级失败或者升级过程中体验不佳。经安全信息服务中心团队多次测试,建议有相同问题的其他客户通过iptables来对bash漏洞进行阻断,该方法适用于所有linux的发行版本:

两条命令如下:

iptables -I INPUT -m string --algo kmp --hex-string '|28 29 20 7B|' -j DROPservice iptables save

同时安恒信息研发中心迅速组织经验丰富的开发团队,对明鉴和明御两大系列产品进行策略升级,用户在升级安恒信息的产品后能快速识别或防御该漏洞信息。如网站用户可以升级明鉴WEBSCAN扫描器进行扫描GUN Bash漏洞,升级明御WEB应用防火墙可以防护该漏洞;系统运维人员可以使用明鉴等保检查工具箱中系统漏洞检查工具批量检查Linux服务器是否存在Bash漏洞。

2.警惕Asprox蠕虫爆发

  • Asprox僵尸网络凶猛来袭

安恒信息安全研究院在多台部署了明御®APT攻击(网络战)预警平台的设备上发现了Asprox蠕虫,最早发现是2014年9月某科研机构的APT邮件检测系统中发现了该蠕虫的告警消息。

接下来的几个月从在不同的地都收到样本反馈。

该僵尸网络在曾在国外大势传播,近期出现在国内,需要引起高度的重视。安恒信息在此提醒广大用户,在收到类似邮件时,千万不要点击运行附件程序。

Asprox僵尸网络概述:Asprox以发送伪装成来自快递公司(像是FedEx、DHL和美国邮局)的垃圾邮件(SPAM)而著称。Asprox恶意软件系列影响了近2000家不同的组织机构,该恶意软件已危害网络用户数年,并多次试图损害基础架构。虽然Asprox僵尸网络只在过去几年间被偶尔的提到,但其他类似手法的攻击活动,还有利用知名航空公司的假机票诈骗(像是达美航空和美国航空)都受到相当的关注。

  • Asprox攻击技术细节分析

1、外部观察

攻击者伪装成航空公司服务人员,发送了一封待处理订单的邮件。

解压缩邮件附件后,可以看见可疑文件使用了和word文档一样的图标,显然它想把自己伪装成word文档,

为了伪装的更隐藏一些,用户双击运行后,它会弹出如下具有欺骗性的告警消息,让人误以为文档损坏。

实际上它早已将恶意代码注入到svchost.exe里面运行。

在我们APT预警平台的抓获的风险日志中也能看见它的恶意行为。

2、内部剖析

为了方便理解,我们先画出了整个攻击流程

(整个攻击流程)

该恶意程序DeltaTicket的外壳代码部分包含了大量‘垃圾’代码,在多次异或解密后,它使用函数RtlDecompressBuffer在内存中解压出一个恶意的dll文件。

该dll文件在整个程序的运行过程中并不会释放处理,而是把它注入到新建的svchost进程中,从而实现在内存中动态加载运行。

其关键注入恶意代码的流程如下:

(注:大量恶意软件都使用了类似)

接着新建的svhost会拷贝自身到% App Data%目录,即:

%App Data%\jgajbltl.exe(名字是随机的)

并检测自己是否已经写入自启动,如果没,便写入如下路径:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

接着使用RC4算法解密出如下URL: http://37.35.xxx.208:8080/index.phphttp://217.106.xxx.145:443/index.phphttp://82.116.xxx.16:443/index.phphttp://209.170.xxx.163:8080/index.phphttp://82.116.xxx.16:443/index.phphttp://222.124.xxx.12:443/index.phphttp://202.185.xxx.50:8080/index.php其中RC4解密的密钥是:“k0a77ofxCH”

接着构造类是于如下的XLM格式的字符串:

<knock> <id>D0B185AA9ACFB4A68C763E969594A525</id> <group>0809s</group> <src>3</src> <transport>0</transport> <time>1790432824</time> <version>2049</version> <status>0</status> <debug>none.none.none</debug></knock>

id的值是 $MD5(SID+installDate+user name) ,其他的标识是它的版本信息等。

然后使用RSA算法加密该xml格式的数据,RSA加密的公钥是:

将加密的数据发送到之前解密的URL,然后等待从这些服务器发送的指令。

通过分析发现关键指令,其伪代码的如下:

具体指令的含义是:

Idl 等待任务run 运行rem 卸载ear 下载运行rdl 注入到svchost运行upd 更新自身red 修改注册表

  • Asprox排查方法
  • 检查系统进程中是否有以普通用户启动的scvhost进程。

2. 检查系统检查系统%AppData%目录是否存在未知的可执行文件

注意:

a) Windows 7下%AppData%的路径是:C:\Users\<用户名>\AppData\Roaming

b) Windows XP下%AppData%的路径是:C:\Documents and Settings\<用户名>\ApplicationData

3. 检查系统注册表

HKCU\Software\Microsoft\Windows\CurrentVersion\Run中是否存在可疑文件名。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2015-01-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏信安之路

优秀的 WIFI 渗透工具汇总

今天给大家收集和整理了一些常用的 WiFi 渗透工具,工具对于我们这些人来说是最熟悉的东西之一了,选择一个好的工具会让你事半功倍。(工具顺序不分名次)

4991
来自专栏FreeBuf

新手科普:浅谈家用路由器安全变迁

路由器是家庭网络的入口,在IoT浪潮下,路由器也起到了网络守护者的角色。正因为如此,这几年针对路由器的攻击也越来越多,本文就带大家细数这些年针对路由器的攻击。 ...

4346
来自专栏FreeBuf

让你家的楼宇门变聪明:基于树莓派实现任意终端控制楼宇门

原创作者:豆豆青春不喂狗 一、背景 寒冷冬天的早晨,你躺在被窝里,门铃响了,你需要立刻起床穿衣服,然后去开门。现在,树莓派能帮你获得一个从容穿衣的时间。 二、摘...

3649
来自专栏蜉蝣禅修之道

android之远程控制电脑播放ppt

2283
来自专栏信安之路

macOS 恶意软件分析过程

Hacker 取得了我们系统权限后通常会做那些事情?植入 shell、恶意软件、留持久化的后门。在当下的 APT 事件中,远控木马扮演着一个重要的角色,这些木马...

1150
来自专栏机器人网

电气主接线常见8种接线方式特点

一、线路变压器组接线 线路变压器组接线就是线路和变压器直接相连,是一种最简单的接线方式,线路变压器组接线的优点是断路器少,接线简单,造价省,对变电所的供电负荷...

4186
来自专栏北京马哥教育

【重大事件】知名终端模拟软件XSHELL多版本存在后门,或上传用户服务器账号密码!

简介 ▼▼▼ Xshell是一款强大,著名的终端模拟软件,被广泛的用于服务器运维和管理,Xshell支持SSH,SFTP,TELNET,RLOGIN和SERIA...

3965
来自专栏ChaMd5安全团队

男默女泪!一次备份文件泄露引起的Getshell

一次备份文件泄露引起的Getshell From ChaMd5安全团队核心成员 S0usa 闲来无事手挺痒,又碍于M的淫威叫我写稿子,于是当我双手放在键盘时...

3105
来自专栏FreeBuf

这个APT攻击与东南亚和中国南海问题相关?

最近,一个与东南亚和中国南海问题相关的APT攻击被发现,该APT攻击以包括美国在内的各国政府和公司为目标 。经安全专家分析,该APT攻击所使用的全部工具代码都是...

2127
来自专栏张戈的专栏

WordPress百度自动推送JS优化,规避错误、重复推送问题

导读:关注 SEO、关注收录的站长,应该都知道百度搜索提供了一段自动推送的 js 代码,可将任意网页推送到搜索引擎,加快收录。但是,这段代码并不是简单的增加到...

3707

扫码关注云+社区

领取腾讯云代金券