关键词:脚本|1428|690|防火墙|下载|名为1428|690|611|229|编译|参考

系统漏洞剖析技术指标分析

  • 时间:
  • 浏览:44

文章内容文件目录

系统漏洞剖析技术指标分析数据泄漏IOCsNetwork indicatorsURLsDomainsAdditional suspicious domainsIPsFilesystem paths

网络攻击应用了不明的SQL引入系统漏洞对于Sophos防火墙进行进攻,该系统漏洞可根据防火墙远程控制程序运行。进攻中应用了一系列Linux Shell脚本,下载了为防火墙电脑操作系统编译程序的恶意程序。该系统漏洞剖析对于的是Sophos商品,致力于从防火墙盗取比较敏感信息内容。

系统漏洞剖析

网络攻击发觉并运用了零日SQL引入远程控制程序运行系统漏洞,运用此系统漏洞网络攻击可以在数据库表中插进单行指令。

引入指令开启受影响机器设备系统漏洞,从故意域sophosfirewallupdate.com下载名为Install.sh的Linux Shell脚本。该指令还将此Shell脚本载入/tmp文件目录,应用chmod特定为exe文件并实行。该脚本(以x.sh方式载入机器设备)运作了一系列SQL指令,并将其他文件嵌入到虚似系统文件中。

最开始Install.sh脚本运作了很多Postgres SQL指令,改动数据库查询中一些表值或将这种表归零,在其中的一个表纪录了管理方法IP地址,进而遮盖进攻。可是在一些机器设备上,shell脚本的主题活动造成 网络攻击的SQL指令显示信息在防火墙管理方法控制面板上。

该脚本还会继续把别的Shell脚本放进/tmp文件目录,并改动防火墙电脑操作系统的Shell脚本,在脚本结尾加上一组指令,保证它在每一次防火墙启动都能运作。

该脚本还会继续把别的Shell脚本放进/tmp文件目录,并改动防火墙电脑操作系统的Shell脚本,在脚本结尾加上一组指令,保证它在每一次防火墙启动都能运作。

技术指标分析

技术指标分析

程序安装脚本x.sh嵌入了2个新的Shell脚本,并改动了电脑操作系统的脚本。嵌入脚本之一为.lp.sh,其关键作用是联接到故意的sophosfirewallupdate,下载在防火墙电脑操作系统上运作的Linux ELFexe文件。 脚本将下载的文档载入/tmp中,名为b。

b程序流程在运作时候从机器设备的系统文件中删掉本身,它仅存有于运行内存中。 它会出現在过程目录中,过程名为cssconf.bin与一切正常运作在防火墙的cscconf.bin合理合法过程相距一个字符。 它列举了父亲过程ID为1,它是合理合法cscconf.bin不容易做的。

b程序流程在运作时候从机器设备的系统文件中删掉本身,它仅存有于运行内存中。 它会出現在过程目录中,过程名为cssconf.bin与一切正常运作在防火墙的cscconf.bin合理合法过程相距一个字符。 它列举了父亲过程ID为1,它是合理合法cscconf.bin不容易做的。

当b处在运行内存里时,它每3到六个钟头反复执行任务,第一次运作时候任意挑选一个延迟时间间距。最先,b查验是不是可与43.229.55.44创建联接。 假如没法与该IP地址创建联接,它会试着分析故意域sophosproductupdate.com的IP地址。

假如它分析了该域的IP,而且DNS結果沒有返回值127.0.0.1,它会下载另一个名为Sophos.dat的Linux ELFexe文件。

Install.sh/x.sh脚本嵌入的第二个Shell脚本以.pg.sh的文件夹名称载入/tmp文件目录。它的关键目地是下载ELFexe文件,该文件在Web服务端上称之为bk,并且以.post_MI名字载入系统文件。

第一阶段的dropper Install.sh运作了很多Postgres SQL指令。这种指令改动了特殊的服务项目值,每每实行该服务项目时都是实行.post_MI,在每一次重启时都是起动恶意程序。该exe文件的作用比较有限,它查验是不是已将名为.a.PGSQL的文档载入/tmp文件目录,假如找不着,则会下载ragnarokfromasgard.com上代管的patch.sh脚本。在对进攻开展剖析时,该网络服务器初始化失败。

第三个脚本用于改动防火墙內部电脑操作系统,名为generate_curl_ca_bundle.sh。在改动初始脚本以前,Install.sh/x.sh脚本对初始文件备份(在文件夹名称.generate_curl_ca_bundle.sh以前加了点)。该编码会嵌入了另一个shell脚本/tmp/I。

脚本I具备2个关键作用:最先它在建/tmp/.a.PGSQL文档。随后从sophosfirewallupdate域中查找了一个名为lc的脚本文档,并将其以.n.sh载入/tmp文件目录并实行。该脚本拷贝了与.lp.sh脚本,并试着从故意的sophosfirewallupdate网址下载并实行b ELFexe文件。

数据泄漏

恶意程序下载并实行在虚拟服务器上名为Sophos.dat的文档,并以2own储存到系统文件。

该恶意程序的关键每日任务是数据信息偷盗,它会查找防火墙中储存的各种各样数据库表內容并运作电脑操作系统指令。 每一个流程中恶意程序都是搜集信息内容,随后将其临时性储存在防火墙的Info.xg文件中。

最先会试着检索防火墙外界IP地址,先根据网址ifconfig.me来查寻,假如该网址无法打开,它会试着根据checkip.dyndns.org查寻。接下去查寻防火墙数据储存地区,查找防火墙以及客户的信息内容。下面的图显示信息了恶意程序侵入工作能力。 

该恶意程序收集防火墙信息内容包含:

1、防火墙的许可证书和系列号

2、机器设备上储存的客户邮件归档,管理人员账号电子邮箱

3、防火墙客户名字,登录名,登陆密码及其管理人员账号登陆密码。登陆密码并不是以纯文档格式储存。

4、将防火墙用以SSL VPN的客户ID和应用“clientless” VPN联接的账号目录。

该恶意程序还查寻了防火墙的內部数据库查询,查找防火墙客户的IP地址分派管理权限目录,及其机器设备自身的信息内容:电脑操作系统版本号,CPU的种类及其运行内存,自之前重新启动至今已运作了多久,ifconfig和ARP表。

恶意程序将全部信息内容载入Info.xg,应用tar压缩专用工具对其开展缩小,随后应用OpenSSL加密文件。 网络攻击应用Triple-DES优化算法对文档开展数据加密,应用“GUCCI”一词做为登陆密码,上传入IP为38.27.99.69的网络服务器上,随后删掉在搜集信息内容时临时性建立的文档。

恶意程序将全部信息内容载入Info.xg,应用tar压缩专用工具对其开展缩小,随后应用OpenSSL加密文件。 网络攻击应用Triple-DES优化算法对文档开展数据加密,应用“GUCCI”一词做为登陆密码,上传入IP为38.27.99.69的网络服务器上,随后删掉在搜集信息内容时临时性建立的文档。

IOCs

IOCs

Network indicators

Network indicators

URLs

hxxps://sophosfirewallupdate.com/sp/Install.sh

hxxp://sophosfirewallupdate.com/sh_guard/lc

hxxps://sophosfirewallupdate.com/bk

hxxps://sophosfirewallupdate.com/sp/lp

hxxps://ragnarokfromasgard.com/sp/patch.sh

hxxps://sophosfirewallupdate.com/sp/sophos.dat

hxxps://sophosfirewallupdate.com/in_exit

hxxps://sophosfirewallupdate.com/sp/lpin

hxxp://sophosfirewallupdate.com/bkin

hxxp://filedownloaderservers.com/bkin

hxxps://sophosfirewallupdate.com/sp/p.sh

hxxps://sophosfirewallupdate.com/sp/ae.sh

Domains

sophosfirewallupdate.com

filedownloaderservers.com

ragnarokfromasgard.com

sophosenterprisecenter.com

sophoswarehouse.com

sophosproductupdate.com

sophostraining.org

Additional suspicious domains

filedownloaderserverx.com

filedownloaderserver.com

updatefileservercross.com

IPs

43.229.55.44

38.27.99.69

Filesystem paths

/tmp/x.sh

/var/newdb/global/.post_MI

/scripts/vpn/ipsec/generate_curl_ca_bundle.sh (modified)

/scripts/vpn/ipsec/.generate_curl_ca_bundle.sh (original)

/tmp/I

/tmp/.a.PGSQL

/tmp/.n.sh

/tmp/.pg.sh

/tmp/.lp.sh

/tmp/b

/tmp/2own

/tmp/Info.xg

/tmp/%s_.xg.rel

/tmp/%s_.xg.salt

/tmp/ip (result of http://checkip.dyndns.org/ip_dyn)

/tmp/ip_dyn (result of https://ifconfig.me/ip)

*参考来源于:sophos,由Kriston编译,转截请标明来源于FreeBuf.COM

猜你喜欢