科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全安恒信息APT产品监控到持续性有组织的 “基于破壳漏洞的跨平台攻击”

安恒信息APT产品监控到持续性有组织的 “基于破壳漏洞的跨平台攻击”

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

日前,安恒信息在某政府机构网络中部署的APT产品监控到了多次“CVE-2014-6271 bash远程命令执行漏洞”告警,攻击源来自意大利、台北、奥地利、挪威、希腊等多个国家,且请求报文中的Host值为“127.0.0.1”,初步判断为一起利用僵尸网络发起的“恶意攻击”。

来源:ZDNet安全频道 2014年12月14日

关键字: 安恒信息 APT

  • 评论
  • 分享微博
  • 分享邮件

日前,安恒信息在某政府机构网络中部署的APT产品监控到了多次“CVE-2014-6271 bash远程命令执行漏洞”告警,攻击源来自意大利、台北、奥地利、挪威、希腊、澳大利亚等多个国家,且请求报文中的Host值为“127.0.0.1”,初步判断为一起利用僵尸网络发起的“恶意攻击”。

安恒信息APT产品监控到持续性有组织的 “基于破壳漏洞的跨平台攻击”

进一步对APT产品上捕获到的数据包进行分析后,研究人员发现这次攻击事件主要是基于bash漏洞植入的IRC-BOT进行跨平台攻击。

安恒信息APT产品监控到持续性有组织的 “基于破壳漏洞的跨平台攻击”

BASH脚本分析

首先,攻击者会从hxxp://183.14.***.***/ *s0.sh下载sh脚本并运行:

安恒信息APT产品监控到持续性有组织的 “基于破壳漏洞的跨平台攻击”

对这个sh脚本进行下载分析发现,该脚本由攻击者精心构造,可以实现针对多种类型平台的攻击,包括有arm、linux –x86、linux-x64,基本的攻击思路为:首先判断平台类型,然后修改用户DNS为8.8.8.8, 再针对不同平台下载相应的恶意程序,以达到恶意攻击的目的。

安恒信息APT产品监控到持续性有组织的 “基于破壳漏洞的跨平台攻击”

如果被攻击的平台上是arm架构,首先会从制定的地址Hxxp://185.14.xxx.xxx/.cgi和Hxxp://185.14.xxx.xxx/armgH.cgi下载arm架构下的IRC-bot,并写入自启动,然后又会从http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/unstable/ipkg-opt_0.99.163-10_arm.ipk 下载ipkg(ipkg是一个软件安装管理工具),最后使用ipkg安装openssh,并把ssh的端口改为26。攻击代码部分截图如下:

安恒信息APT产品监控到持续性有组织的 “基于破壳漏洞的跨平台攻击”

接着新建了一个叫做“request”的用户名,设置预定义的密码,然后利用该用户获取目标服务器的权限。

安恒信息APT产品监控到持续性有组织的 “基于破壳漏洞的跨平台攻击”

攻击者为了避免被发现达到对系统长期占用的目的,它中完了botnet后,还给有问题的系统打了BASH补丁。

安恒信息APT产品监控到持续性有组织的 “基于破壳漏洞的跨平台攻击”

最后还下载了叫做run的bash脚本,脚本内容如下

安恒信息APT产品监控到持续性有组织的 “基于破壳漏洞的跨平台攻击”

这个run脚本主要作用是下载叫pnscan的恶意程序,它主要是扫描程序,从调用参数可以看见它是全网段扫描的,实现对更多的主机进行攻击。另外按照bash漏洞出来的时间可以推测出这个脚本是2014-12-3日编写。

IRC-BOT分析:

通过分析研究人员发现上面提到的恶意软件都是功能相同架构不同的IRC-BOT,它们都使用了upx进行加密。

安恒信息APT产品监控到持续性有组织的 “基于破壳漏洞的跨平台攻击”

首先脱壳,然后能解密出两个恶意的irc服务器地址

174.140.xxx.188:26667

216.55.xxx.182:26664

接着被感染的设备会登入到irc服务器上等待接受指令。

部分指令截图:

安恒信息APT产品监控到持续性有组织的 “基于破壳漏洞的跨平台攻击”

具体含义是:

.login 登入

.logout 等出

.advscan 扫描

.exec 执行系统命令

.version 显示版本

.status 显示状态

.help 打印帮助

.stop 停止

.spoof 设置攻击ip

.synflood syn包洪水攻击

.ngsynflood gsyn包洪水攻击

.ackflood ack 包洪水攻击

.ngackflood ngack包洪水攻击

经过对事件进行关联分析发现,该攻击事件最早起始于2014年12月5号,且截止发稿前攻击事件仍在持续,因此基本确认该事件是一起“持续性的有组织攻击”。

安恒信息APT产品监控到持续性有组织的 “基于破壳漏洞的跨平台攻击”

安恒信息研究人员已第一时间通知该政府机构,对该事件进行处理,将攻击的影响降低到最小,同时安恒信息建议各位用户及时关注最新安全漏洞,采用全面的安全防护方案,包括各种已知和未知攻击的防护,实时感知最新的安全状况,以采取针对性的安全防护措施。

建议关注安恒信息网站安全风暴中心官方微信号,及时获取最新安全漏洞资讯:DBAPP2013

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章