一、概述
近期毒霸安全團隊通過“捕風”威脅感知系統監控到一起特殊的竊密後門攻擊事件, 網絡中廣泛流傳的“FlashFXP”破解版被黑客惡意篡改植入盜號後門,目前正在通過百度SEM誘導安裝和定向釣魚等方式廣泛傳播。從整個攻擊流程來看,屬於針對分發渠道進行劫持攻擊的“軟件供應鏈汙染”典型案例。作為知名的 FTP遠程管理工具,“FlashFXP” 在國內程序開發、運維人員中用戶群體廣泛,本次後門攻擊或將導致大量的服務器賬號密碼洩露,隨之引發的數據洩露、滲透攻擊等安全風險不容小覷。 通過我們的安全數據觀測和特殊取證獲取的少量洩露數據分析,目前該攻擊事件處於初步階段,後門核心代碼還在測試更新中,但是已經有大量用戶中招,短短數日內有過千臺服務器密碼被竊取,並且由於百度SEM在搜索結果首條展示的特殊誘導性,感染用戶還在逐步增加。我們安全團隊呼籲近期下載使用過“Flash FXP”破解版的用戶儘快檢查後門文件,根據文末提供的IOC信息核查洩露情況並重置服務器密碼,避免安全風險進一步擴大化。
近幾年“供應鏈攻擊”事件頻發,攻擊手法多樣化,包括構建環境、開發工具、數字簽名、第三方庫、開源項目、維護升級、分發安裝等軟件生產的各個環節都成為攻擊目標。已披露的真實攻擊案例屢見不鮮,2012年漢化版Putty後門事件、2015年“XcodeGhost”事件、2017年“Xshel l/CCleaner後門”、2017年升級劫持傳播“Not Petya”勒索病毒、2018年驅動人生升級推送“永恆之藍下載器”病毒,2019年華碩“ShadowHammer後門”,還包括2019年影響數十萬用戶的phpstudy 後門事件,基本上每年都會有數例影響範圍巨大的“供應鏈攻擊”安全事件披露,“供應鏈攻擊”過程看似曲折複雜,但往往具備更直接的防禦穿透力、更強大的隱蔽性以及更廣泛的安全影響,這些攻擊方式不僅受到到APT攻擊團伙的青睞,對於普通的商業黑客組織、黑灰產團伙來說同樣是慣用手法。
以本次“FlashFXP”盜號後門攻擊事件為例,目前受影響版本主要為5.4.3970 破解版,攻擊者通過二次打包方式patch原始主程序中植入後門,通過多階shellcode+雲控機制+反射注入多種技術手法組合完成密碼配置文件的竊取,整個過程隱蔽性較高,無文件落地,無持久化依賴,C&C 通訊採用HTTPS協議加密,並且檢測規避主流數據包抓取分析工具。從攻擊事件的關鍵時間節點來看,C&C域名2019年6月創建,1 0月26日C&C服務器構建啟動, 12月13日我們捕獲到首次攻擊,11月 22日前後攻擊者開始投放百度SEM進入傳播期。本次後門攻擊流程圖如下所示:
二、技術分析
2.1 二次打包
此次捕獲的文件進行了二次打包並進行UPX壓縮,數字簽名使用亞洲誠信代碼簽名測試證書:
脫殼後發現本身只是一個加載器,在資源文件中加密隱藏了被patch的FlashFXP:
加載器為了對抗靜態分析做了特殊處理,關鍵代碼處理邏輯都放在了異常處理中執行,使得IDA工具反編譯C代碼時無法識別。經過還原後可以看出在對解密後的PE進行內存對齊後創建傀儡進程寫入執行:
2.2 patch流程
被patch的代碼位於進入OEP入口點的第一個函數內部(偏移0x5D3A1),使得第一段shellcode能獲得一個較早的運行時機。對比原版代碼,修改後的版本會先保存寄存器現場以便shellcode執行完畢後可以恢復原樣。
第一段shellcode 以及被它解密的第二段shellcode都經過了大量混淆處理有非常多的垃圾指令和延遲代碼對抗分析。第一段shellcode的主要功能就是:1.解密二段shellcode創建線程執行。2.還原patch代碼。第一段shellcode執行完成後會恢復寄存器現場跳轉至還原後的代碼重新執行。二段shellcode 會解密出一階模塊進行內存加載執行:
2.3 CC通訊
解密出的一階模塊包括後面雲控下拉的二階模塊都採用非常生僻的PowerBasic編譯器生成,該編譯器可以把BASIC代碼靜態編譯為獨立的可執行文件,但其內部函數調用傳參採用類似虛擬機的模擬壓棧方式,使得分析成本增加以達到對抗分析的目的。
一階模塊會建立兩個線程,其中一個線程作為主要通訊線程,另一個作為備用通訊線程。主線程中解密出CC地址域名如下,算法採用R**:
獲取用戶本機信息R**加密後轉換成字符串填充後部分字段,通過調用系統COM接口發起https請求:
從服務器返回的數據中提取!@ @!之間的內容,經過解密後為二階模塊下載地址:
繼續訪問下載地址得到二階模塊數據,解密後內存加載執行:
在備用線程中,解密出的域名如下,該線程循環訪問以下四個鏈接地址在返回的數據中尋找!@標記,找到後進行解密及內存加載,在處理邏輯上與主線程一致。雖然這些域名還沒有包含惡意數據,但明顯後期攻擊者會利用他們下發新模塊:
2.4 FTP賬號盜取
二階模塊功能較為簡單,主要收集quick.dat和Sites.dat兩個文件進行上傳,同時監控這個兩個文件是否修改,一旦發現修改立即上傳最新數據。讀取文件二進制數據轉換字符通過調用系統COM接口進行https發送:
雖然FlashFXP對密碼進行了了加密存儲,但是這種加密對於攻擊者而言“形同虛設”,在FlashFXP可以設置開啟展示密碼,導入從用戶處獲取的配置信息即可看到明文:
從目前的攻擊流程看還處於測試階段,核心模塊代碼不斷更新迭代,例如最新變種中加入了對多種流量分析監控工具的檢測規避,使其在後期活動中更加隱蔽:
三、溯源
我們在溯源過程中發現,後門版本為網絡中廣泛流傳的“54.03970”破解版,目前主要通過百度SEM誘導安裝和定向釣魚等方式廣泛傳播。幕後黑手指向“吉林煜通科技有限公司”,並且有針對教育行業定向釣魚攻擊的活動趨勢。
1)攻擊者通過百度SEM購買“FlashFXP”等部分關鍵詞,在百度搜索結果首頁、百度知道等渠道投放釣魚網站“hxxp://flrj.jlytkj1.cn/s/xjwbbe.noljayf/”,該域名備案公司為“吉林煜通科技有限公司”:
2)除了百度SEM渠道,我們還發現攻擊者通過投放“教學視頻課件試題”資源誘導使用後門版“FlashFXP”客戶端,疑似針對教育領域用戶進行定向釣魚攻擊。
3) 通過安全取證確認該後門程序的C&C服務器部署在香港地區,接入CloudFlare的CDN服務隱藏自身。後續分析獲取該後門在12月初測試推廣期間竊取的部分密碼信息,我們發現短短一週內上報數量已超過1千條,被竊取的全部賬號密碼數據量應該遠超於此,受影響服務器歸屬地分佈如下:
四、總結
面對日益活躍複雜的“供應鏈攻擊”,尤其是國內複雜特殊的網絡環境和軟件使用習慣,監管審核不嚴的第三方下載站、SEM/SEO投毒、網盤共享資源、破解盜版論壇等軟件分發渠道更是病毒木馬的活躍溫床,安全防範任重而道遠。毒霸安全團隊呼籲近期下載使用過“Flash FXP”的企業或用戶儘快檢查後門文件,根據文末提供的IOC信息核查洩露情況並重置服務器密碼,避免安全風險進一步擴大化。目前毒霸可以有效查殺攔截此次“FlashFXP ”後門版的黑客攻擊。
IOC:
【MD5】
597B7048CA2EFB9E2C8BE0F982411865
21A7F4D499ED968B565A2E2072C36BA0
9CDFCB8C8306A2A**01CB769AD8A7EE8
【URL】
http[:]//flrj.jlytkj1.cn/s/xjwbbe.noljayf/
http[:]//90xxy.com/FlashFXPv54.03970.zip
http[:]//www.kgula.com/article/2044794.html
https[:]//www.update08.com/update.php?download
https[:]//giveyouranaddress.wordpress.com/feed/
https[:]//giveyouranaddress.wordpress.com/
https[:]//github.com/xe5v6sz7iot2n4apjcbh/
https[:]//xoejiad94ypnh56rbcf2.wixsite.com/mysite
https[:]//www.update08.com/update.php?
https[:]//www.update08.com/module/flashfxp.php
文章轉載於:https://www.freebuf.com/articles/system/225225.html
閱讀更多 安界 的文章
關鍵字: 黑客 PuTTY XcodeGhost
