吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 14578|回复: 121
收起左侧

[PC样本分析] 冒充火绒域名 黑客利用云服务器漏洞投放后门病毒

  [复制链接]
火绒安全实验室 发表于 2021-4-27 19:37
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2021-4-27 19:39 编辑

近日,有友商向火绒反馈,检测到有后门病毒下载地址指向火绒相关域名,希望火绒协同排查。经过排查发现,黑客利用某云服务商的漏洞,实施域名前置的攻击方式(Domain Fronting),欺骗检测设备,投放后门病毒,与火绒服务器并无关系。

黑客可以通过域名前置攻击,隐藏真正的C&C服务器域名,从而欺骗安全检测设备、误导分析人员的溯源分析。除所述后门病毒外,我们监测到近期还有很多此类具备域名前置的病毒样本在传播。


Image-0.png


值得警惕的是,黑客选取用来冒名顶替的域名都是有较高信任度的域名,以此获取信任躲避审查。除了火绒以外,所有在该云平台上使用CDN服务的厂商都有可能会受到此类攻击的影响。

实际上,为了避免此类攻击,基于Google、亚马逊等云服务提供商早已在2018年和2020年禁用域名前置。目前,我们已经将该情况反馈至相关漏洞平台,并同步给所述云厂商,该厂商也已确认此事,表示将于近日修复该逻辑漏洞。


1、详细攻击方式分析

根据火绒工程师排查分析,病毒通过域名前置技术,最终访问真实的C&C服务器的主机名为down1.huorong.cn,该主机名对应的CNAME响应指向病毒要连接到的源站地址为(121.199.1.32)。

而该主机名在早期已被黑客抢注,其所指向的C&C服务器源站地址(121.199.1.32)与火绒无关。除此之外,我们还发现了更多此类曾被C&C服务器所使用的主机名,此类主机名与火绒均无任何关联。相关主机名及CNAME,如下图所示:


Image-1.png


曾被C&C服务器所使用的主机名


上述CNAME与源站地址对应关系,如下图所示:


Image-2.png

上述CNAME与源站地址对应关系


病毒与C&C服务器通讯流程,如下图所示:


Image-3.png

病毒与C&C服务器通讯流程


病毒与C&C服务器通讯数据包内容示意图,如下图所示:


Image-4.png

病毒与C&C服务器通讯数据包内容示意图


2、本次出现病毒代码分析

前文中所述病毒样本为使用域名前置技术的Cobalt Strike后门病毒,该病毒在请求远程恶意代码和获取后门指令时均使用了域名前置技术。病毒请求远程恶意代码时所使用的域名前置逻辑,如下图所示:


Image-5.png

病毒请求远程恶意代码时所使用的域名前置逻辑


远程恶意代码下载地址为:hxxps://down1.huorong.cn/2IF119(该下载地址只在云服务商的CDN集群内部有效),该数据为混淆后的Cobalt Strike后门shellcode代码。调用shellcode相关恶意代码逻辑,如下图所示:


Image-6.png

调用shellcode相关恶意代码逻辑


shellcode入口与原始代码解密相关代码,如下图所示:


Image-7.png

shellcode入口与原始代码解密相关代码


解密后的shellcode主要用于解密后门病毒的原始代码,相关代码逻辑,如下图所示:


Image-8.png

解密后门病毒的原始代码


原始PE镜像在映射过程中会跳过PE头数据,所以在内存中执行时不会出现完整的映射后PE镜像。原始PE为后门病毒,部分后门指令处理逻辑代码,如下图所示:


Image-9.png

部分后门指令处理逻辑代码


3、同源样本分析

除此之外,还有更多此类病毒样本利用此类方式下发远程恶意代码。相关病毒行为,如下图所示:


Image-10.png

相关样本恶意行为


经分析,我们发现此类样本与报告中所述样本存在同源性,且shellcode下发流程与shellcode混淆形式也完全相同。与报告中提到的shellcode下发方式相同,都是直接将shellcode以二进制形式下发到受害人终端,且数据没有经过任何加密。两者的shellcode入口代码也存在一定的相似性,代码对比情况如下图所示:


Image-11.png

shellcode对比图


4、附录

病毒样本hash


Image-12.png

免费评分

参与人数 55吾爱币 +51 热心值 +49 收起 理由
snowhee + 1 用心讨论,共获提升!
iwhale + 1 + 1 谢谢@Thanks!
momo152921 + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
dlccom + 1 已经处理,感谢您对吾爱破解论坛的支持!
大力牛魔王 + 1 + 1 热心回复!
冰棍好烫啊 + 2 + 1 我很赞同!
353885433 + 1 + 1 谢谢@Thanks!
Cityyyaaa + 1 + 1 鼓励转贴优秀软件安全工具和文档!
瓜皮的小游戏 + 1 我很赞同!
旺旺小小酥 + 1 + 1 谢谢@Thanks!
david891024 + 1 谢谢@Thanks!
叶无道 + 1 + 1 我很赞同!
cdaxcy + 1 + 1 热心回复!
lyslxx + 1 + 1 热心回复!
mfl666 + 1 + 1 用心讨论,共获提升!
xaibin + 1 + 1 谢谢@Thanks!
Mrzhou_vip + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
小橙紫 + 1 + 1 厉害了
纵横睥睨 + 1 + 1 谢谢@Thanks!
鱼九 + 1 + 1 我很赞同!
itach00 + 1 + 1 我很赞同!
风冯讽凤 + 1 + 1 火绒niub
Lweniv + 1 + 1 谢谢@Thanks!
wunai006 + 1 + 1 谢谢@Thanks!
killah1998 + 1 谢谢@Thanks!
孤独尽头是自由 + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
SugarXiaoJie + 1 我很赞同!
real0time + 1 + 1 用心讨论,共获提升!
花之舞 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
巛sunny灬追忆 + 1 谢谢@Thanks!
superBoyJack + 3 + 1 支持火绒
杨辣子 + 1 + 1 是挖矿病毒么?
王者逍遥 + 1 + 1 谢谢@Thanks!
shiina0831 + 1 + 1 谢谢@Thanks!
丶峰宇 + 1 + 1 我很赞同!
天尊小帅 + 2 + 1 用心讨论,共获提升!
肖飞 + 1 + 1 谢谢@Thanks!
_小白 + 1 + 1 我很赞同!
Byxiaowei + 1 + 1 谢谢@Thanks!
FANT456 + 1 + 1 我很赞同!
zd404039009 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
wjooxx + 1 + 1 谢谢@Thanks!
SjZj + 1 + 1 用心讨论,共获提升!
e.wgs + 1 用心讨论,共获提升!
四月份 + 1 + 1 谢谢@Thanks!
moomoo + 1 谢谢@Thanks!
石木 + 1 + 1 谢谢@Thanks!
LonelyCrow + 1 谢谢@Thanks!
wanfon + 1 + 1 谢谢@Thanks!
阿花先生 + 1 谢谢@Thanks!
286733081 + 1 牛,看不懂!
cumtboy + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
独行风云 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
白裤裆寒冬一鷄 + 1 + 1 谢谢@Thanks!
hqt + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

hqt 发表于 2021-4-27 19:43
请问如何解决这个问题
我们现在进火绒官网是否访问的真实的火绒?
yunv 发表于 2021-4-27 20:38
老虎 发表于 2021-4-28 08:08
这种手段欺负那些不懂域名原理的小白欺骗性还是很强的,
其实就是把自己的二级域名改成包含火绒官网网址,
所以平时上网时注意区分就可以避免,但是一般小白很难看得出来。

点评

现在浏览器一般会高亮显示一级域名,应该有这方面的因素  详情 回复 发表于 2021-4-28 08:19
hpebble 发表于 2021-4-28 08:40
认准官方网站是最重要的,特别是*度的搜索结果,一定要看仔细了,确认是广告推广还是官网。
爱吃西柚的狼 发表于 2021-4-27 19:49
谢谢大佬的科普和研究 学到了~
freckle 发表于 2021-4-27 19:52
虽然看不懂,我也留个爪爪
fu83652254 发表于 2021-4-27 19:55
虽然看不懂,学习学习。
霸气侧漏m2 发表于 2021-4-27 19:56
不懂,但觉得很牛逼,栽赃嫁祸好手段
59soyo 发表于 2021-4-27 19:59
现在关键是我们下载或者升级火绒的病毒库   所更新的是什么,需要怎么防范
拉玛西亚 发表于 2021-4-27 19:59
我靠(`Δ′)!,快修复吧
wanfon 发表于 2021-4-27 20:23
提早预防,谢谢科普
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 14:58

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表