安信10注册_安信10娱乐平台招商【首页】hwdn521.net
安信10注册_安信10娱乐平台招商【首页】hwdn521.net
安信与诚-威胁月报(8月份)
作者:管理员    发布于:2022-10-06 17:03    文字:【】【】【

  近日,某厂商监测到一起针对Linux系统的破坏性攻击活动。恶意代码在系统时间2022年6月20日0时之后触发破坏功能,导致感染的用户因系统无法正常启动而感知到了恶意代码的存在。

  该样本执行后,会将curl、top等系统命令劫持为恶意代码,并创建计划任务,实现持久化驻留。定时条件触发后,样本会尝试删除root账户、破坏启动扇区、系统引导文件和Linux内核,使系统无法正常启动,然后删除系统中的特定文件,破坏业务系统环境,最后清除日志,抹除痕迹。由于大部分Linux系统未进行有效防护,使恶意代码长期潜伏在系统中而未能及时发现。

  根据样本代码中出现的汉字字符串内容,推测本次攻击的目标为国内人员。攻击者自称是“正大黑客组织”,但通过关联并未发现与该组织相关的其它信息,同时结合代码中的注释“fake information”(虚假信息)及语句结构,判断推断这段文字是攻击者伪造的,目的是转移视线,掩盖攻击者的真实身份。

  经验证,某厂商终端防御系统(简称IEP)Linux版本可实现对该木马的有效查杀和对用户终端的切实防护。

  (2)加强SSH口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

  (3)及时更新补丁:建议开启自动更新功能安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁;

  (4)某厂商服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场,等待安全工程师对计算机进行排查。

  本次行动中,攻击者对受害者机器投放了9个样本,其中包含1个将系统指令替换成其它样本的伪装器样本和8个执行恶意功能的破坏型样本。

  伪装器和破坏型样本被同时投放到系统中。伪装器执行后依次写入各个破坏型样本,将系统指令分别替换对应的样本,以替换sort指令的样本为例:伪装器用sort指令替换grub2-mkimage指令,再使用恶意代码替换sort指令,达到实现持久化的目的。在执行sort指令时,系统将在执行恶意代码时正常输出,用以迷惑用户。

  为了规避杀毒软件的检测,攻击者利用开源混淆器将脚本编译成可执行文件,实现在内存中动态执行脚本。

  当用户执行系统指令时,实际执行的为破坏型样本。样本执行后,调用grub2工具集的指令,此时实际执行的为系统指令。通过输出系统指令执行的结果,将样本伪装成系统正常程序,使受害者放松警惕。

  攻击者在定时触发的基础上,增加了提前触发的功能。攻击者只需要再次投放样本并执行伪装器,就会将grub2工具集指令再次替换为top等指令,而这些指令已在第一次执行时被替换为恶意代码,因此最终grub2工具集被替换为恶意代码。当受害者执行系统指令时,文件名为grub2工具集指令的恶意代码启动,立即触发破坏行为,不受前面所述的日期限定。

  删除/etc文件夹下所有名称匹配*con*的文件,导致系统中软件的配置文件缺失,造成进一步的破坏。

  样本将预设的中文内容输出到登录提示中。结合代码中的注释“fake information”(虚假信息)及语句结构判断,这段不完整的字符串可能是伪造和拼接的。通过关联,并未发现与“正大黑客组织”相关的其它信息,可确定这段文字是攻击者伪造的,目的是转移视线,掩盖攻击者的真实身份。

  1. 攻击者试图向root账户中写入密码,但是参数设置错误。在下文的指令中删除了root账户,间接导致了写入的密码失效;

  2. 攻击者替换了find指令,在执行脚本中的find指令时引起阻塞循环,导致后续指令无法执行;

  3. 当攻击者在2022年6月20日之前触发恶意代码时,grub2工具也被替换为恶意代码。由于脚本编写失误,此条件被触发后将循环执行恶意代码,导致系统资源被耗尽。

  1. 根据样本代码中出现的汉字字符串内容,推测本次攻击的目标为国内人员;

  2. 在本次捕获的样本中未发现横向移动、窃密回传等操作,推测攻击者以破坏系统正常运行为目的。结合定时触发,推测攻击在触发事件之前已经开始,攻击者通过定时触发的方式,在触发时间之前手动感染尽可能多的主机,以造成更大的破坏效果。

  本次捕获的样本将系统命令劫持为恶意代码,并创建计划任务实现持久化,定时触发破坏功能,导致系统无法启动并破坏业务系统数据,对数据安全产生极大威胁。由于目前未获取到更多的上下游信息,无法对攻击者的入侵方式进行判定。因此,建议用户做好常规的终端安全防护工作,安装终端防御软件,同时将重要数据在异地、多地进行安全备份,作为数据安全的有力保障。

  PT29,又名CozyBear, Nobelium, TheDukes,某团队内部编号APT-Q-77,被认为是与东欧某国政府有关的APT组织。该组织攻击活动可追溯至2008年,主要攻击目标包括西方政府组织机构、智囊团。APT29曾多次实施大规模鱼叉攻击,收集攻击目标机构或附属组织的人员信息,并针对其中的高价值目标采取进一步的网络间谍活动。

  2021年5月,微软披露了该组织几种攻击武器,其中包括EnvyScout,这种恶意软件通过HTML文件释放包含后续恶意载荷的ISO文件。2022年4月,Mandiant将2020年SolarWinds攻击事件的幕后黑手UNC2452组织归并到APT29。APT29在今年上半年被披露的鱼叉攻击活动中屡次利用合法通信服务作为C&C信道3,4,比如团队协作服务Trello和文件托管服务Dropbox。

  近期,某团队威胁情报中心在日常的威胁狩猎中捕获到EnvyScout攻击样本,该样本释放的ISO文件中包含LNK文件以及设置了文件隐藏属性的PE文件,LNK文件启动其中的正常EXE,进而以侧加载方式执行恶意DLL。恶意DLL利用团队协作通信服务Slack作为C&C信道,获取后续载荷并执行。

  国外安全研究人员进一步发现了与该EnvyScout攻击样本相关的钓鱼邮件和PDF诱饵文档。邮件与PDF均使用意大利语,内容是要求机构部门人员完成COVID-19疫苗接种的通知,钓鱼邮件使用意大利政府域名进行伪装,因此可以认为此次攻击目标位于意大利。结合对同源样本的分析,发现此次攻击活动至少从6月中旬开始。

  作为攻击入口的钓鱼邮件如下,邮件伪造来自意大利政府域名governo.it,但实际的发件地址为””,此外邮件内容中“COVID-19“出现了拼写错误。

  邮件附件PDF文档”Dekret.pdf”打开后内容如下,是对邮件正文提到的所谓第348/2022号政府法令的说明。

  诱饵PDF中的链接指向hxxps://,该URL存放的就是捕获的EnvyScout攻击样本。APT29此前使用EnvyScout时一般是直接将其作为钓鱼邮件的附件,而在此次攻击活动中,EnvyScout通过诱饵文档中的远程链接触发,更具隐蔽性。

  html的具体内容如下所示。受害者访问i.html时,User-Agent和IP信息会发送到hxxps://。然后页面中嵌入的ISO文件数据伪装为诱饵PDF文档中提到的疫苗接种问卷,引导受害者下载。

  Decret.iso中包含的文件如下,其中Decret.lnk和HPScanApi.dll为恶意文件,文件修改时间均为北京时间6月29日。ISO解压打开后除Decret.lnk之外,其余文件均被设置了文件隐藏属性,使得受害者只能看到Decret.lnk这一快捷方式文件。

  Decret.lnk文件信息如下,受害者点击后,启动同目录下的HP2.exe。

  HPScanApi.dll中多处使用下面这种异或的方式解密得到所需的字符串,后门dll首先会检查运行的进程名称是否为HP2.exe。

  以ntdll模块中的RtlFindSetBits函数为入口点创建线程,修改该线程上下文的rcx寄存器,使其指向后门dll中的函数sub_68B0BD10,当恢复线程运行状态后,控制流会转移到该函数。该控制流转移方法与具体的线程入口点函数无关,只与系统恢复线程运行状态的过程有关。

  然后调用函数sub_68B06AB0实现持久化。该函数先检查dll的文件路径中”\”出现次数是否为1。若为1表示该DLL是直接通过打开ISO文件得到的,则继续进行后续操作,否则函数直接返回。

  完成持久化后,函数sub_68B0BD10开始利用Slack服务建立C&C信道。Slack是一款在线团队协作通信服务,并且支持API操作。

  首先获取受害者主机的用户名以及主机名,加上4位随机数,构成创建channel的名称。

  后门在发送请求时添加的HTTP首部如下,其中包括攻击者使用的Slack API认证令牌(加粗部分)。

  当在分析过程中尝试建立连接时,得到” invalid_auth”的错误信息。查阅Slack API文档,该错误信息可能源自令牌失效,也可能是服务端限制了访问的IP地址。

  如果请求成功,后门会从返回的json数据结果中取出channel id,然后调用“ite”这个API向新建的channel中添加攻击者的用户id。添加的用户id为” U03MMK35QQ1”。

  信道建立后,后门进入C&C通信的while循环。在循环中首先用“chat.postMessage“ API在新建的channel中发送信标消息,如果未收到服务端的正常回应,则休眠一段时间,收到回应则进行后续操作。

  调用“files.list“过滤channel中攻击者对应用户创建的文件,并从返回的文件信息列表json数据中提取”url_private”字段内容。

  接着从hxxps:// 下载文件。文件中的数据并不是shellcode本身,而是shellcode每个字节数据在后门硬编码字符表中的索引位置。后门将还原后的shellcode复制到分配的内存上,然后执行shellcode。

  (1) 首先初始攻击样本EnvyScout通过钓鱼邮件诱使受害者点击触发,是APT29近年来常用的一种攻击手段;

  (2) APT29在此前攻击活动中多次使用合法在线服务提供的API构建C&C信道,下载后续载荷,而此次发现的攻击样本也使用了Slack服务建立C&C信道;

  (3) 该攻击样本具有与之前国外厂商披露的APT29攻击活动相同的特征,包括重新加载某些系统DLL的text段以绕过终端防护软件的挂钩检测,以及复制文件到%appdata%的子目录下并设置注册表键值实现持久化。

  加上此次攻击目标位于意大利,而APT29多次针对欧洲国家发起攻击,因此可以认为该攻击活动与APT29存在明显关联。

  PT29组织在此次针对意大利的攻击活动中采用了与以往相同的攻击手法,并在一些细节之处不断改进,尽可能避开安全防护软件的检出与拦截。由于采用合法通信服务作为C&C信道,攻击者开展网络间谍活动的过程变得更加隐蔽。

  尽管此次攻击活动暂未发现国内受到影响,不过某团队仍在此提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。

  若需运行,安装来历不明的应用,可先通过威胁情报文件深度分析平台进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。返回搜狐,查看更多

标签: 安信8登录
相关推荐
  • 03月10日有2家基金公司旗下3位基金经理离任
  • 安信与诚-威胁月报(8月份)
  • 安信信托股份有限公司第八届监事会第十七次会议决议公告
  • 【龙虎榜】金刚退6月8日成交明细
  • 安信证券:八月行情相对乐观
  • 贝达药业:8月25日接受机构调研安信基金管理有限责任公司、彼得明奇资产管理有限公司等135家机构参与
  • 电梯应该如何保住它的“绿码”?
  • 医保缴费恢复!镇雄还没交的请抓紧!
  • 手机上怎么查社保缴费记录查询医保卡余额的方法叫什么
  • 纪录片《李兆麟》登陆央视纪录频道
  • 版权所有 Copyright(C)2009-2026 安信10注册_安信10娱乐平台招商【首页】hwdn521.net TXT地图 HTML地图 XML地图
    友情链接: