close
1

概要
微步在線監測到一個長期針對報社媒體企業實施定向攻擊的 APT 團伙,由於該團伙成員手法老道且經驗豐富,我們將命名為「OldFox」(老狐狸),其主要特徵包括:

OldFox 至少自2014年起開始活躍,近年來已成功入侵多家國內報社媒體的企業內網,大肆竊取企業內部敏感信息,並伺機投放非法鏈接。

OldFox 通常利用 Web 側漏洞、暴破等方式入侵目標企業的 Web 服務器,在部署自製後門木馬(基於開源工具 PRISM 後門)後,伺機在企業內網進行橫向移動,竊取用戶數據、內部文檔等敏感信息,危害程度極高。

OldFox 選擇的攻擊目標分布在報社媒體、手機廠商、政府、金融等行業,攻擊時多為手工操作,並大量使用自行編譯的開源攻擊工具,隱蔽性強。

OldFox 平均每三個月更換一次木馬回連服務器地址,相關IP均位於美國、中國香港等地,警惕性高,具備較強的反偵察意識。

OldFox 與賭博、色情、詐騙等非法活動關係密切。

微步在線通過對相關樣本、IP 和域名的溯源分析,提取多條相關 IOC ,可用於威脅情報檢測。微步在線主機威脅檢測與響應平台 OneEDR 、本地威脅情報管理平台 TIP 、微步雲沙箱等均已支持對此次攻擊事件和團伙的檢測。

建議相關行業的客戶對該團伙攻擊活動高度重視,利用相關情報第一時間開展自查。如需微步在線協助檢測,請聯繫我們 contactus@threatbook.cn。

2

歷史攻擊事件

攻擊事件

攻擊時間

影響

入侵百餘家手機廠商、應用商店,推廣非法博彩應用

2014-2017

大量敏感信息泄露,被動推送非法博彩應用、廣告

入侵數十家報社媒體,推廣非法博彩網站

2017-2021

大量敏感信息泄露,被動推送非法博彩廣告

3

詳情

微步在線在某報社媒體企業的應急響應中取證到一款修改版的 Pirsm 後門木馬,該木馬在受害主機上會偽裝成 Linux 常見文件,利用系統自啟動項實現開機運行,攻擊者幾乎可以隨時登錄操作。

經過對某受控服務器的排查,事實表明攻擊者早在2017年就利用 Struts2 漏洞獲取了該服務器的控制權限,在植入後門程序後,還將 ssh 服務的 sshd 文件替換為木馬化版本,該木馬化 sshd 可記錄所有 ssh 登錄者的賬戶密碼至特定文件。在長達一年的控制期中,攻擊者以該服務器為跳板,利用竊密工具記錄的敏感信息攻陷了企業內網中的其他機器,竊取大量敏感信息,甚至將網絡博彩廣告植入該報社媒體的網站中進行推廣。

4

典型攻擊流程

該團伙攻擊流程如下圖所示:

OldFox 團伙一般會利用 Web 應用漏洞攻陷受害者 Web 服務器,部署後門木馬建立初始立足點。為擴大戰果,攻擊者會將常用工具例如 sshd 替換為木馬化版本收集 ssh 登錄賬號和密碼,並使用內網掃描工具進行內網掃描,伺機進行橫向移動。當攻擊者橫向移動到核心服務器例如數據庫服務器後,會通過竊取數據和植入推廣鏈接來獲取利益。
5

攻擊工具分析
攻擊工具

功能描述

鏈接

Pirsm

PRISM 是一個用戶空間隱身反彈shell 後門

https://github.com/andreafabrizi/prism

metasploit-framework

滲透測試框架

https://github.com/rapid7/metasploit-framework

subDomainsBrute

高並發的DNS暴力枚舉工具

https://github.com/lijiejie/subDomainsBrute

LNScan

內部網絡掃描器

https://github.com/sowish/LNScan

reGeorg

內網穿透

https://github.com/sensepost/reGeorg

weakfilescan

敏感文件目錄探測

https://github.com/ring04h/weakfilescan

vncpwd

VNC密碼解密器

https://github.com/jeroennijhof/vncpwd

pwnginx

nginx 後門,提供 shell 訪問、socks5 隧道、http 密碼嗅探。

https://github.com/t57root/pwnginx

反彈shell木馬

微步在線對 OldFox 使用的後門程序 X11 分析發現,該木馬運行時,首先會將自己的進程名稱修改為 [cgroup/0],然後每隔35秒鐘嘗試向 C&C 服務器9996886.com 的30880端口進行連接,連接成功後會將受害主機 shell 反彈給攻擊者使用。

木馬化sshd
進一步排查發現,攻擊者還修改了受控主機的系統服務程序 sshd,惡意程序內含一個萬能密碼「gre*****」,可供攻擊者直接登錄,此外還會持續記錄所有登錄者的用戶名和密碼存放至「/var/log/」目錄下,核心代碼如下所示:

持久化

攻擊者為實現木馬的持久化,採用了多種技術手段:

修改開機啟動腳本

在系統啟動目錄"/etc/init.d/"下的文件中添加運行木馬命令。

將 sshd 等常用工具替換為攻擊者修改的木馬化版本

以 sshd 為例,木馬化 sshd 存有後門密碼,並且會記錄所有 ssh 登錄的用戶名和密碼。

利用用戶態 rootkit 來隱藏木馬痕跡

利用用戶態預加載的動態鏈接庫實現對系統調用的 hook,來隱藏木馬進程名。

6

溯源分析
在追蹤 OldFox 團伙的過程中,我們曾獲取了該組織一台位於香港服務器的部分權限,通過對服務器文件和日誌分析發現:
除上述兩款攻擊工具外,OldFox 至少還使用了 metasploit-framework5、subDomainsBrute6、LNScan7、reGeorg8、weakfilescan9、vncpwd10、vulhub11、pwnginx12 等大量開源攻擊工具,可對目標服務器實施暴力破解、漏洞掃描、端口轉發等定向攻擊,手法老道,技術水平較高。
OldFox 在登錄管理該服務器時多使用美國、柬埔寨、香港、台灣等地的境外代理IP,具備較強的反偵察意識。
OldFox 團伙控服務器超百台,涉及國內多家報社媒體企業以及部分金融、媒體和政府網站,危害程度較高。

微步在線主機威脅檢測與響應平台 OneEDR 已支持 OldFox 木馬後門的檢測,在客戶真實環境中發現安全威脅。

微步雲沙箱支持檢測「老狐狸」樣本及sshd後門程序。

7

黑客畫像

綜合上述信息分析認為,OldFox 是一個專業黑客團伙,在入侵特定用戶竊取敏感資料的同時,還長期參與賭博、色情、詐騙等非法活動,對企業和網民的危害性極高,需要引起相關部門的關注。該團伙畫像如下:

目標國家

中國

基礎設施

主要集中在美國、中國香港等地

活躍時間

2014年至今

目標行業

報社媒體、金融、政府等

攻擊目的

盜取企業敏感信息,推廣博彩網站、應用

常用工具

Pirsm、sshd、metasploit-framework、subDomainsBrute、LNScan、reGeorg、weakfilescan、vncpwd、pwnginx

攻擊特點

漏洞利用,暴力破解,內網橫移

C&C
9996886.com
wa1a1.com
mail.fy345.com
2019.fy345.com
1.050080.com
dns.fdssdf.com

SHA256
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 ATT&CK
戰術(ATT&CK)
技術ID

技術

詳細信息

Initial Access

T1190

Exploit Public-Facing Application

利用web應用方面的漏洞拿到目標的web服務器控制權限。

Execution

T1059.004

Command and Scripting Interpreter:Unix Shell

利用反彈shell控制獲得權限的服務器。

Persistence

T1554

Compromise Client Software Binary

替換sshd等常用工具為木馬化版本,該版本含有後門密碼。

T1037

Boot or Logon Initialization Scripts

修改系統啟動目錄"/etc/init.d/"下的文件,添加後門木馬運行命令,實現開機自啟動。

Defense Evasion

T1564

Hide Artifacts

通過rootkit 隱藏木馬進程。

Credential Access

T1556

Modify Authentication Process

替換sshd等常用工具為木馬化版本,收集ssh登錄該服務器的賬戶、密碼等信息。

Discovery

T1082

System Information

在機器上收集信息

Lateral Movement

T1021.0 04

Remote Services: SSH

收集SSH登錄憑證,可用於橫向移動

T1210

Exploitation of Remote Services

利用LNScan進行內網掃描

Command and Control

T1090

Proxy

使用reGeorg進行內網穿透

Exfiltration

T1041

Exfiltration Over C2

提取收集的數據

---End---


內容轉載與引用


1. 內容轉載,請微信後台留言:轉載+轉載平台

2. 內容引用,請註明出處:以上內容引自公眾號「微步在線研究響應中心」
點擊下方,關注我們第一時間獲取最新的威脅情報

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()