一些APT攻擊案例分享

提醒:點上方↑「黑客技術」即可免費訂閱我。

2014年我們所知的所有網路攻擊，實際上還只是冰山一角，未來的網路空間將出現更多錯綜複雜、有組織性甚至是由敵對國家發起的網路襲擊。APT攻擊事件目前趨於爆髮式增長，有些黑客秘密潛入重要系統竊取重要情報，而且這些網路間諜行動往往針對國家重要的基礎設施和單位進行，包括能源、電力、金融、國防等;有些則屬於商業黑客犯罪團伙入侵企業網路，搜集一切有商業價值的信息。

警惕利用Bash漏洞的IRC-BOT

(1)Bash安全漏洞

繼2014年4月的「Openssl心臟流血」漏洞之後，另一個重大互聯網威脅於2014年9月24日爆發，GNU Bash(Bourne again shell)4.3及之前版本在處理某些構造的環境變數時存在安全漏洞，可能允許攻擊者遠程執行任意命令，GNU Bash漏洞編號為CVE-2014-6271。

經過研究確認，此漏洞可能會影響到使用ForceCommand功能的OpenSSH sshd、使用mod_cgi或mod_cgid的Apache伺服器、DHCP客戶端、其他使用bash作為解釋器的應用等。而使用mod_php/mod_python/mod_perl的Apache httpd不受此問題影響。

百度百科的介紹顯示，Bash(GNU Bourne-Again Shell)是大多數Linux系統以及Mac OS X v10.4默認的shell，它能運行於大多數Unix風格的操作系統之上，甚至被移植到了Microsoft Windows上的Cygwin系統中，以實現Windows的POSIX虛擬介面。此外，它也被DJGPP項目移植到了MS-DOS上。

而Bash的命令語法是Bourne shell命令語法的超集。數量龐大的Bourneshell腳本大多不經修改即可以在Bash中執行，只有那些引用了Bourne特殊變數或使用了Bourne的內置命令的腳本才需要修改。可以說，Bash是類Unix系統的核心，如果Bash出現了漏洞，則說明攻擊者可以控制機器一切。

(2)Bash安全漏洞攻擊分析

近期，我們團隊也監控到了大量利用Bash安全漏洞進行的攻擊，我們主要是對這次的攻擊使用的Bash腳本和植入的IRC-BOT進行分析。

Bash腳本分析

我們在預警平台上發現了攻擊者發送的數據包如下:

攻擊者會從http://183.14.***.***/ *s0.sh下載sh腳本並運行。

攻擊腳本部分截圖如下：

這個sh攻擊腳本針對了多個平台進行攻擊,包括有arm、linux –x86、linux-x64,但是基本的攻擊思路差不多。

1.它首先修改用戶DNS為8.8.8.8, 然後針對不同平台下載不同惡意程序。

2.當被攻擊的平台上是arm架構時,它首先從地址:

下載arm架構下的IRC-bot,並寫入自啟動。

3.從http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/unstable/ipkg-opt_0.99.163-10_arm.ipk 下載ipkg(ipkg是一個軟體安裝管理工具)

4.使用ipkg安裝openssh,並把ssh的埠改為26。攻擊代碼部分截圖如下：

5.當被攻擊的平台上是linux-x86時:

它和arm差不多，只不過是從

下載linux-x86架構下的IRC-bot，其他都操作一樣 。

6.當被攻擊的平台上是linux-x64時:

它依然上面的一樣，下載地址變成了：

其他都操作一樣。

7.接著新建了一個叫做「request」的用戶名，密碼未知(暫時未破解)。

在twitter上我們看見有人公開發現是在12月5日。

攻擊者為了達到對系統長期的佔用，將系統植入木馬成為殭屍網路的一部分後，還給有問題的系統打了Bash補丁。

最後還下載了叫做run的bash腳本,腳本內容如下

這個run腳本主要作用是下載叫pnscan的惡意程序，它主要是掃描程序，從調用參數可以看見它是全網段掃描的。

按照Bash漏洞出來的時間可以推測出這個腳本是2014-12-3日編寫。

IRC-BOT分析

通過簡單的分析我們發現上面提到的惡意軟體都是功能相同架構不同的IRC-BOT，它們都使用了upx進行加密

首先脫殼，然後能解密出兩個惡意的irc伺服器地址

接著被感染的設備會登入到irc伺服器上等待接受指令，部分指令截圖：

具體含義是：

在分析的過程中我們發現它是某個開源的程序，由於危害性我們就不給出鏈接了。

(3)儘快升級Bash

提醒用戶按照GUN Bash官方指導意見進行升級：

我們發現有對其服務設備通過yum命令對GUN bash升級版本的時候由於yum鏡像點沒有更新，而且不同的linux發行版本更新命令也不一樣，導致升級失敗或者升級過程中體驗不佳。經安全信息服務中心團隊多次測試，建議有相同問題的其他客戶通過iptables來對bash漏洞進行阻斷，該方法適用於所有linux的發行版本：

兩條命令如下：

警惕Asprox蠕蟲爆發

(1)Asprox殭屍網路兇猛來襲

安恆團隊在多台APT攻擊預警平台的設備上發現了Asprox蠕蟲，最早發現是2014年9月某科研機構的APT郵件檢測系統中發現了該蠕蟲的告警消息。

接下來的幾個月從在不同的地都收到樣本反饋。

該殭屍網路在曾在國外大勢傳播,近期出現在國內，需要引起高度的重視。在此提醒廣大用戶，在收到類似郵件時，千萬不要點擊運行附件程序。

(2)Asprox攻擊技術細節分析

1、外部觀察

攻擊者偽裝成航空公司服務人員，發送了一封待處理訂單的郵件。

解壓縮郵件附件後,可以看見可疑文件使用了和word文檔一樣的圖標，顯然它想把自己偽裝成word文檔，

為了偽裝的更隱藏一些，用戶雙擊運行後，它會彈出如下具有欺騙性的告警消息，讓人誤以為文檔損壞。

實際上它早已將惡意代碼注入到svchost.exe裡面運行。

在我們APT預警平台的抓獲的風險日誌中也能看見它的惡意行為。

2、內部剖析

為了方便理解，我們先畫出了整個攻擊流程

▲(整個攻擊流程)

該惡意程序DeltaTicket的外殼代碼部分包含了大量『垃圾』代碼，在多次異或解密後，它使用函數RtlDecompressBuffer在內存中解壓出一個惡意的dll文件。

該dll文件在整個程序的運行過程中並不會釋放處理，而是把它注入到新建的svchost進程中，從而實現在內存中動態載入運行。

其關鍵注入惡意代碼的流程如下：

▲(註：大量惡意軟體都使用了類似)

接著新建的svhost會拷貝自身到% App Data%目錄,即：

%App Data%jgajbltl.exe(名字是隨機的)

並檢測自己是否已經寫入自啟動，如果沒，便寫入如下路徑：

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

接著構造類是於如下的XLM格式的字元串：

id的值是 $MD5(SID+installDate+user name) ,其他的標識是它的版本信息等。

然後使用RSA演算法加密該xml格式的數據，RSA加密的公鑰是：

將加密的數據發送到之前解密的URL，然後等待從這些伺服器發送的指令。

通過分析發現關鍵指令，其偽代碼的如下：

具體指令的含義是：

(3)Asprox排查方法

1. 檢查系統進程中是否有以普通用戶啟動的scvhost進程。

2. 檢查系統檢查系統%AppData%目錄是否存在未知的可執行文件

注意：

a) Windows 7下%AppData%的路徑是：C:Users<用戶名>AppDataRoamingb) Windows XP下%AppData%的路徑是：C:Documents and Settings<用戶名>Application Data

3. 檢查系統註冊表

HKCUSoftwareMicrosoftWindowsCurrentVersionRun中是否存在可疑文件名。

——————————

關注微信號：hackdig 學習最新黑客技術！

推薦閱讀：