关键词:投毒|技术分析|供应链|概述|污染|攻击后门程序|取证|确认

“手机软件供应链污染”新实例:FlashFXP破解版下载遭投毒攻击

  • 时间:
  • 浏览:68

“手机软件供应链污染”新实例:FlashFXP破解版下载遭投毒攻击

文章内容文件目录

一、概述 二、技术分析 2.1 二次装包 2.2 patch步骤 2.3 CC通信 2.4 FTP账户窃取 三、追溯 四、小结 IOC: 【URL】

一、概述

最近毒霸安全性精英团队根据“捕风”威协认知监视系统到一起独特的窃密侧门攻击恶性事件, 互联网中普遍广为流传的“FlashFXP”破解版下载被网络黑客故意伪造嵌入盗号软件侧门,现阶段已经根据百度搜索SEM诱发安裝和定项垂钓等方法不断发展。从全部攻击步骤看来,归属于对于派发方式开展被劫持攻击的“手机软件供应链污染”经典案例。做为著名的 FTP远程访问专用工具,“FlashFXP” 在中国软件开发、运维管理工作人员中客户人群普遍,此次侧门攻击或将造成很多的网络服务器账户密码泄漏,随着引起的数据泄漏、渗入攻击等安全隐患不可小觑。 根据人们的安全性数据信息观察和独特调查取证获得的小量泄漏数据统计分析,现阶段该攻击恶性事件处在初步阶段,侧门关键编码还要检测升级中,可是早已有很多客户有没有中招,短短的数天内有过千台网络服务器登陆密码被盗取,而且因为百度搜索SEM在百度搜索第一条展现的独特不可逆性,感柒客户还要逐渐提升。人们安全性精英团队号召最近下载并安装过“Flash FXP”破解版下载的客户尽早查验侧门文档,依据文尾出示的IOC信息内容审查泄漏状况并重设网络服务器登陆密码,防止安全隐患进一步扩大。

近些年“供应链攻击”恶性事件高发,攻击技巧多元化,包含搭建自然环境、开发环境、电子签名、第三方库、开源项目、维护保养更新、派发安裝等手机软件制造的重要环节都变成攻击总体目标。已公布的真正攻击实例司空见惯,2012年简体中文版Putty侧门恶性事件、2015年“XcodeGhost”恶性事件、2017年“Xshel l/CCleaner侧门”、2017年更新被劫持散播“Not Petya”勒索软件、2018年驱动人生更新消息推送“永恒之蓝下载工具”病毒感染,2019年asus“ShadowHammer侧门”,还包含2019年危害数十万客户的phpstudy 侧门恶性事件,大部分每一年都是有数例危害范畴极大的“供应链攻击”安全事故公布,“供应链攻击”全过程看起来坎坷繁杂,但通常具有更立即的防御力穿透性、更强劲的隐秘性及其更普遍的安全性危害,这种攻击方法不但遭受到APT攻击犯罪团伙的亲睐,针对一般的商业服务黑客联盟、黑灰产犯罪团伙而言一样是惯用手法。

以此次“FlashFXP”盗号软件侧门攻击恶性事件为例,现阶段受危害版本号关键为5.4.3970 破解版下载,攻击者根据二次装包方法patch初始子程序中嵌入侧门,根据多阶shellcode+云控体制+反射面引入多种多样技术性技巧组成进行登陆密码配置文件的盗取,全过程隐秘性较高,无文档落地式,无持久化依靠,C&C 通信选用HTTPS协议书数据加密,而且检验避开主流产品数据文件爬取解析专用工具。从攻击恶性事件的重要时间范围看来,C&C网站域名2019年6月建立,1 0月26日C&C网络服务器搭建起动, 12月13日人们捕捉到初次攻击,11月 22此前后攻击者刚开始推广百度搜索SEM进到散播期。此次侧门攻击流程表以下图示:

二、技术分析

2.1 二次装包

本次捕捉的文档开展了二次装包并开展UPX缩小,电子签名应用亚洲地区诚实守信代码签名检测资格证书:

蜕壳后发觉自身仅仅一个载入器,在資源文档中数据加密掩藏了被patch的FlashFXP:

载入器以便抵抗静态数据解析干了独特解决,重要编码解决逻辑性都放到了异常处理中实行,促使IDA专用工具反编译C编码时没法分辨。历经复原后能够看得出在对破译后的PE开展运行内存两端对齐后建立傀偶系统进程载入实行:

2.2 patch步骤

被patch的编码坐落于进到OEP通道点的第一个涵数內部(偏位0x5D3A1),促使第一段shellcode能得到一个比较早的运作机会。比照正版编码,改动后的版本号会先储存寄存器当场便于shellcode实行结束后能够修复原状。

第一段shellcode 及其被它破译的第二段shellcode都历经了很多搞混解决有十分多的废弃物命令和延迟时间编码抵抗解析。第一段shellcode的关键作用就是说:1.破译二段shellcode建立进程实行。2.复原patch编码。第一段shellcode实行进行之后修复寄存器当场自动跳转至复原后的编码再次实行。二段shellcode 会破译出一阶控制模块开展运行内存载入实行:

2.3 CC通信

破译出的一阶控制模块包含后边云控下拉菜单的二阶控制模块都选用十分冷僻的PowerBasicc语言编译器转化成,该c语言编译器能够把BASIC编码静态数据编译为单独的可执行文件,但其內部函数调用传参选用相近vm虚拟机的仿真模拟压栈方法,促使解析成本上升以超过抵抗解析的目地。

一阶控制模块会创建2个进程,在其中一个进程做为关键通信进程,另一个做为预留通信进程。主线任务程中破译出CC详细地址网站域名以下,优化算法选用R**:

获得客户本机信息R**数据加密后转化成字符串数组添充后一部分字段名,根据启用系统软件COM插口进行https恳求:

从服务器返回的数据信息中获取[email protected] @!中间的內容,历经破译后为二阶控制模块下载链接:

继续访问下载链接获得二阶控制模块数据信息,破译后运行内存载入实行:

在预留进程中,破译出的网站域名以下,该进程循环系统浏览下列四个连接详细地址在回到的数据信息中找寻[email protected]标识,寻找后开展破译及运行内存载入,在解决逻辑性上与主线任务程一致。尽管这种网站域名都还没包括故意数据信息,但显著中后期攻击者会运用她们下达新控制模块:

2.4 FTP账户窃取

二阶控制模块作用比较简单,关键搜集quick.dat和Sites.dat2个文档开展发送,另外监控器这一2个文档是不是改动,一旦发觉改动马上发送最新消息数据信息。载入文档二进制数据转换空格符根据启用系统软件COM插口开展https推送:

尽管FlashFXP对登陆密码开展了数据库存储,可是这类数据加密针对攻击者来讲“名存实亡”,在FlashFXP能够设定打开展现登陆密码,导进从客户处获得的配备信息内容就可以见到密文:

从现阶段的攻击步骤看还处在产品测试,关键控制模块编码不断创新迭代更新,比如最新消息变异中添加了对多种多样流量统计监控器专用工具的检验避开,使其在中后期主题活动中更为隐蔽工程:

三、追溯

人们在追溯全过程中发觉,侧门版本号为互联网中普遍广为流传的“54.03970”破解版下载,现阶段关键根据百度搜索SEM诱发安裝和定项垂钓等方法不断发展。幕后人偏向“吉林省煜通科技有限责任公司”,而且有对于教育培训行业定项垂钓攻击的主题活动发展趋势。

1)攻击者根据百度搜索SEM选购“FlashFXP”等一部分关键字,在网页搜索結果主页、百度问答等方式推广诈骗网站“hxxp://flrj.jlytkj1.cn/s/xjwbbe.noljayf/”,该网站域名备案企业为“吉林省煜通科技有限责任公司”:

2)除开百度搜索SEM方式,人们还发觉攻击者根据推广“课堂教学视频课程考题”資源诱发应用侧门版“FlashFXP”手机客户端,疑是对于教育行业客户开展定项垂钓攻击。

3) 根据安全性取证确认该后门程序的C&C网络服务器布署在台湾地区,连接CloudFlare的CDN服务项目掩藏本身。事后解析获得该侧门在12月月初检测营销推广期内盗取的一部分登陆密码信息内容,人们发觉短短的一周内汇报总数已超出1万条,被盗取的所有账户密码信息量应当远超在此,受危害网络服务器号码归属遍布以下:

四、小结

应对日渐活跃性繁杂的“供应链管理进攻”,特别是在是中国繁杂独特的网络空间和软件应用习惯性,管控审批关不紧的第三方软件下载站、SEM/SEO下毒、网盘共享資源、破译盗版软件社区论坛等手机软件派发方式也是病毒感染木马病毒的活跃性18号本子,安全防护任重道远。毒霸安全性精英团队号召最近下载并安装过“Flash FXP”的公司或客户尽早查验侧门文档,依据文尾出示的IOC信息内容审查泄漏状况并重设网络服务器登陆密码,防止安全隐患进一步扩大。现阶段毒霸能够合理杀毒阻拦本次“FlashFXP ”侧门版的黑客入侵。

IOC:

【MD5】

597B7048CA2EFB9E2C8BE0F982411865

21A7F4D499ED968B565A2E2072C36BA0

9CDFCB8C8306A2A**01CB769AD8A7EE8

【URL】

http[:]//flrj.jlytkj1.cn/s/xjwbbe.noljayf/

http[:]//90xxy.com/FlashFXPv54.03970.zip

http[:]//www.kgula.com/article/2044794.html

https[:]//www.update08.com/update.php?download

https[:]//giveyouranaddress.wordpress.com/feed/

https[:]//giveyouranaddress.wordpress.com/

https[:]//github.com/xe5v6sz7iot2n4apjcbh/

https[:]//xoejiad94ypnh56rbcf2.wixsite.com/mysite

https[:]//www.update08.com/update.php?

https[:]//www.update08.com/module/flashfxp.php

*本文作者:安全性豹,转截请标明来源于FreeBuf.COM

猜你喜欢