安恒信息APT產品監控到持續性有組織的"基于破殼漏洞的跨平
責編:admin |2014-12-11 19:02:54日前,安恒信息在某政府機構網絡中部署的APT產品監控到了多次"CVE-2014-6271 bash遠程命令執行漏洞"告警,攻擊源來自意大利、臺北、奧地利、挪威、希臘、澳大利亞等多個國家,且請求報文中的Host值為"127.0.0.1",初步判斷為一起利用僵尸網絡發起的"惡意攻擊"。
進一步對APT產品上捕獲到的數據包進行分析后,研究人員發現這次攻擊事件主要是基于bash漏洞植入的IRC-BOT進行跨平臺攻擊。
BASH腳本分析
首先,攻擊者會從hxxp://183.14.***.***/ *s0.sh下載sh腳本并運行:
對這個sh腳本進行下載分析發現,該腳本由攻擊者精心構造,可以實現針對多種類型平臺的攻擊,包括有arm、linux -x86、linux-x64,基本的攻擊思路為:首先判斷平臺類型,然后修改用戶DNS為8.8.8.8, 再針對不同平臺下載相應的惡意程序,以達到惡意攻擊的目的。
如果被攻擊的平臺上是arm架構,首先會從制定的地址Hxxp://185.14.xxx.xxx/.cgi和Hxxp://185.14.xxx.xxx/armgH.cgi下載arm架構下的IRC-bot,并寫入自啟動,然后又會從http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/unstable/ipkg-opt_0.99.163-10_arm.ipk 下載ipkg(ipkg是一個軟件安裝管理工具),最后使用ipkg安裝openssh,并把ssh的端口改為26。攻擊代碼部分截圖如下:
接著新建了一個叫做"request"的用戶名,設置預定義的密碼,然后利用該用戶獲取目標服務器的權限。
攻擊者為了避免被發現達到對系統長期占用的目的,它中完了botnet后,還給有問題的系統打了BASH補丁。
最后還下載了叫做run的bash腳本,腳本內容如下
這個run腳本主要作用是下載叫pnscan的惡意程序,它主要是掃描程序,從調用參數可以看見它是全網段掃描的,實現對更多的主機進行攻擊。另外按照bash漏洞出來的時間可以推測出這個腳本是2014-12-3日編寫。
IRC-BOT分析:
通過分析研究人員發現上面提到的惡意軟件都是功能相同架構不同的IRC-BOT,它們都使用了upx進行加密。
首先脫殼,然后能解密出兩個惡意的irc服務器地址
174.140.xxx.188:26667
216.55.xxx.182:26664
接著被感染的設備會登入到irc服務器上等待接受指令。
部分指令截圖:
具體含義是:
.login 登入
.logout 等出
.advscan 掃描
.exec 執行系統命令
.version 顯示版本
.status 顯示狀態
.help 打印幫助
.stop 停止
.spoof 設置攻擊ip
.synflood syn包洪水攻擊
.ngsynflood gsyn包洪水攻擊
.ackflood ack 包洪水攻擊
.ngackflood ngack包洪水攻擊
經過對事件進行關聯分析發現,該攻擊事件最早起始于2014年12月5號,且截止發稿前攻擊事件仍在持續,因此基本確認該事件是一起"持續性的有組織攻擊"。
安恒信息研究人員已第一時間通知該政府機構,對該事件進行處理,將攻擊的影響降低到最小,同時安恒信息建議各位用戶及時關注最新安全漏洞,采用全面的安全防護方案,包括各種已知和未知攻擊的防護,實時感知最新的安全狀況,以采取針對性的安全防護措施。
建議關注安恒信息網站安全風暴中心官方微信號,及時獲取最新安全漏洞資訊:DBAPP2013