安基网 首页 资讯 安全报 查看内容

黑客挖出Sophos 0day Sophos全程解秘

2020-6-28 01:17| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 黑客竟然挖出了Sophos 0day Sophos是一家私人公司,全球总部位于英国牛津近郊, Sophos Anti-Virus Pte Ltd. 是其分公司,它的商业合作伙伴, 技术合作伙伴和客户遍及文莱, 柬埔寨,中国, 中国香港, 印度尼西亚,韩国, 老挝,中国澳门, 马来西亚, 蒙古,缅甸, 菲律宾, 新加坡,中国台湾, 泰国, 以及越南。Sophos的其它分公司和办事处分布在美国、澳大利亚、加拿大、法国、德国、意大利和日本。

头条号

黑客挖出Sophos 0day Sophos全程解秘!从数据窃取到漏洞分析

太牛了,黑客竟然挖出了Sophos 0day Sophos是一家私人公司,全球总部位于英国牛津近郊, Sophos Anti-Virus Pte Ltd. 是其分公司,它的商业合作伙伴, 技术合作伙伴和客户遍及文莱, 柬埔寨,中国, 中国香港, 印度尼西亚,韩国, 老挝,中国澳门, 马来西亚, 蒙古,缅甸, 菲律宾, 新加坡,中国台湾, 泰国, 以及越南。Sophos的其它分公司和办事处分布在美国、澳大利亚、加拿大、法国、德国、意大利和日本。公司现有1600多名员工,其中核心团队是由高级产品开发人员、编程人员和技术支持人员组成的。它拥有全球大大小小, 来自各行各业的一亿多企业用户。Sophos为客户提供每周七天, 每天二十四小时的即时技术支持。基于20年的经验和专业知识,Sophos可以随时帮客户解决其所面临的任何威胁。SophosLabs是Sophos的全球安全研究中心,从事对全球的安全隐患的调查研究,并24小时提供对任何地区任何新型病毒的预防和有效防御的分析报告。

攻击者使用了未知的SQL注入漏洞针对Sophos防火墙发起攻击,该漏洞可通过防火墙远程代码执行。攻击中使用了一系列Linux Shell脚本,下载了为防火墙操作系统编译的恶意软件。该漏洞分析针对的是Sophos产品,旨在从防火墙窃取敏感信息。

攻击者利用此漏洞安装各种ELF二进制文件和脚本,Sophos将其命名为 Asnar?k木马。

该木马常用于从防火墙窃取数据,这些数据可能被攻击者用来远程破坏网络。

一、数据窃取

这些数据包括:防火墙的许可证和序列号,存储在设备上用户帐户的电子邮件地址列表,以及一些属于防火墙管理员帐户的主要电子邮件、防火墙用户的名称,用户名,密码的加密形式以及管理员帐号的盐化SHA256哈希密码,该密码不是以纯文本格式存储的、允许将防火墙用于SSL VPN的用户ID和允许使用" 无客户端" VPN连接的帐号列表。

您可以通过以下的Sophos图表了解攻击是如何策划的。

网络安全公司Sophos于4月25日发布紧急安全更新,修复该公司XG企业防火墙产品中的一个0-day漏洞,该漏洞已遭到黑客的利用。

Sophos表示,它在4月22日周三收到一份来自客户的报告后,首次听说该0-day漏洞。该名客户报告"在管理接口中看见一个可疑的字段值。"

对该报告进行调查后,Sophos判定这是一次主动攻击,而不是其产品中的错误。

根据Sophos发布的安全公告,攻击者利用一个以前未知的SQL注入漏洞获取了对暴露的XG设备的访问权限。

黑客针对管理(HTTPS服务)或用户门户控制面板暴露在互联网上的SophosXG Firewall设备发起攻击。

Sophos表示,黑客利用该SQL注入漏洞在该设备上下载一个payload,该payload则从XGFirewall中窃取文件。

被窃取的数据包括该防火墙设备管理员和防火墙门户管理员的用户名和哈希密码,以及用于远程访问该设备的用户账户。

Sophos表示,客户其他的外部身份认证系统的密码,如AD或LDAP,未受影响。

该公司表示,在调查过程中,它没有发现任何证据证明黑客使用窃取的密码访问XG Firewall设备,或其客户内部网络上的其他任何系统。

Sophos表示已经推送一个自动更新至所有启用了自动更新功能的XG Firewall,以修复该漏洞。

该热补丁修复了该SQL注入漏洞,防止漏洞遭到进一步利用,阻止XG Firewall访问攻击者的任何基础设施,并清除该攻击的残余部分。

该安全更新还在XG Firewall控制面板中添加了一处告警,让设备所有者知道是否设备已遭到入侵。

对于设备已遭到入侵的公司,Sophos建议通过重置密码和重启设备等措施进行补救。

1. 重置门户管理员和设备管理员账户;2. 重启XG设备;3. 重置所有本地用户账户的密码;4. 虽然密码已通过哈希加密,但仍建议重置任何可能再次使用XG凭据的账户的密码;

如果用户不需要防火墙的管理界面,Sophos同时建议用户在面向互联网的端口上禁用该特性。

二、部署勒索软件

一旦发现这些攻击,Sophos 就将 防火墙修复程序推 送到防火墙,该防火墙会关闭SQL注入漏洞并删除恶意脚本。

在Sophos今天发布的一份新报告中,我们了解到Sophos 推出其修补程序仅几小时后,攻击者便对其攻击进行了修改,以将Ragnarok 勒索软件分发到网络上未打补丁的Windows 计算机上。

首先,他们开始在被黑客入侵的防火墙上更改其脚本,以使用"智能开关 ",如果删除了特定文件并重新启动了设备,则稍后将激活勒索软件攻击。

值得庆幸的是,Sophos的修补程序通过删除必需的组件且无需重新启动防火墙来阻止了此攻击,于是攻击者再次更改了计划。

Sophos在其报告中 解释道:"攻击者可能意识到,勒索软件下载不是由失能开关发起的,也许是由于缺少重启,于是攻击者更改了在攻击早期阶段提供的一些Shell 脚本,包括用勒索软件有效载荷替换了自己的数据窃取模块。"

在此新攻击中,攻击者试图立即将Ragnarok 勒索软件推送到网络上易受攻击的Windows 计算机上。

Ragnarok是针对企业的目标勒索软件,其运营商过去利用 Citrix ADC网关 设备中的漏洞 来部署。

为了部署勒索软件,他们计划使用永恒之蓝漏洞和DoublePulsar CIA漏洞将恶意软件复制到易受攻击的 Windows计算机上,并将其注入到现有的explorer.exe进程中。

注入勒索软件后,勒索软件将开始对易受攻击的计算机上的文件进行加密,并留下赎金记录,其中包含有关如何支付赎金的说明。

三、漏洞分析

攻击者发现并利用了零日SQL注入远程代码执行漏洞,利用此漏洞攻击者能够在数据库表中插入单行命令。

注入命令触发受影响设备漏洞,从恶意域sophosfirewallupdate.com下载名为Install.sh的Linux Shell脚本。该命令还将此Shell脚本写入/tmp目录,使用chmod指定为可执行文件并执行。该脚本(以x.sh形式写入设备)运行了一系列SQL命令,并将其他文件植入到虚拟文件系统中。

最初Install.sh脚本运行了许多Postgres SQL命令,修改数据库中某些表值或将这些表归零,其中的一个表记录了管理IP地址,从而掩盖攻击。但是在某些设备上,shell脚本的活动导致攻击者的SQL命令显示在防火墙管理面板上。

该脚本还会把其他Shell脚本放入/tmp目录,并修改防火墙操作系统的Shell脚本,在脚本末尾添加一组命令,确保它在每次防火墙启动时都能运行。

技术分析

安装程序脚本x.sh植入了两个新的Shell脚本,并修改了操作系统的脚本。植入脚本之一为.lp.sh,其主要功能是连接到恶意的sophosfirewallupdate,下载在防火墙操作系统上运行的Linux ELF可执行文件。 脚本将下载的文件写入/tmp中,名为b。

b程序在运行时会从设备的文件系统中删除自身,它仅存在于内存中。 它会出现在进程列表中,进程名为cssconf.bin与正常运行在防火墙的cscconf.bin合法进程相差一个字符。 它列出了其父进程ID为1,这是合法cscconf.bin不会做的。

当b处于内存中时,它每3到6个小时重复执行任务,第一次运行时会随机选择一个延迟间隔。首先,b检查是否可与43.229.55.44建立连接。 如果无法与该IP地址建立连接,它会尝试解析恶意域sophosproductupdate.com的IP地址。

如果它解析了该域的IP,并且DNS结果没有返回至127.0.0.1,它会下载另一个名为Sophos.dat的Linux ELF可执行文件。

Install.sh/x.sh脚本植入的第二个Shell脚本以.pg.sh的文件名写入/tmp目录。它的主要目的是下载ELF可执行文件,该文件在Web服务器上称为bk,并以.post_MI名称写入文件系统。

第一阶段的dropper Install.sh运行了许多Postgres SQL命令。这些命令修改了特定的服务值,每当执行该服务时都会执行.post_MI,在每次重新启动时都会启动恶意软件。该可执行文件的功能有限,它检查是否已将名为.a.PGSQL的文件写入/tmp目录,如果找不到,则会下载ragnarokfromasgard.com上托管的patch.sh脚本。在对攻击进行分析时,该服务器没有响应。

第三个脚本用来修改防火墙内部操作系统,名为generate_curl_ca_bundle.sh。在修改原始脚本之前,Install.sh/x.sh脚本对原始文件备份(在文件名.generate_curl_ca_bundle.sh之前加了点)。该代码会植入了另一个shell脚本/tmp/I。

脚本I具有两个主要功能:首先它新建/tmp/.a.PGSQL文件。然后从sophosfirewallupdate域中检索了一个名为lc的脚本文件,并将其以.n.sh写入/tmp目录并执行。该脚本复制了与.lp.sh脚本,并尝试从恶意的sophosfirewallupdate网站下载并执行b ELF可执行文件。

恶意软件下载并执行在远程服务器上名为Sophos.dat的文件,并以2own保存到文件系统。

该恶意软件的主要任务是数据盗窃,它会检索防火墙中存储的各种数据库表内容并运行操作系统命令。 每个步骤中恶意软件都会收集信息,然后将其临时存储在防火墙的Info.xg文件中。

首先会尝试搜索防火墙外部IP地址,先通过网站ifconfig.me来查询,如果该网站无法访问,它会尝试通过checkip.dyndns.org查询。接下来查询防火墙数据存储区域,检索防火墙及其用户的信息。下图显示了恶意软件入侵能力。

该恶意软件搜集防火墙信息包括:

1、防火墙的许可证和序列号

2、设备上存储的用户邮件列表,管理员帐户电子邮件

3、防火墙用户名称,用户名,密码以及管理员帐户密码。密码不是以纯文本格式存储。

4、将防火墙用于SSL VPN的用户ID和使用"clientless" VPN连接的帐户列表。

该恶意软件还查询了防火墙的内部数据库,检索防火墙用户的IP地址分配权限列表,以及设备本身的信息:操作系统版本,CPU的类型以及内存,自上次重启以来已运行了多长时间,ifconfig和ARP表。

恶意软件将所有信息写入Info.xg,使用tar压缩工具对其进行压缩,然后使用OpenSSL加密文件。 攻击者使用Triple-DES算法对文件进行加密,使用"GUCCI"一词作为密码,上传到IP为38.27.99.69的服务器上,然后删除在收集信息时临时创建的文件。

好消息是,此修补程序阻止了Sophos向防火墙发出的所有这些攻击。

但这些攻击说明了威胁者如何将外围设备作为目标来获得对网络的访问权或部署恶意软件。

因此,必须始终确保这些设备安装了最新的安全更新。

如果外围设备能够自动安装发布的更新安全,那么我们可以使用此选项来防止因为错过更新升级而导致的严重漏洞。

结语

探讨渗透测试及黑客技术,请关注并私信我。#小白入行网络安全# #安界网人才培养计划#

原创扶持



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6840995511013474828/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部