近日,有友商向火绒反馈,检测到有后门病毒下载地址指向火绒相关域名,希望火绒协同排查。经过排查发现,黑客利用某云服务商的漏洞,实施域名前置的攻击方式(Domain Fronting),欺骗检测设备,投放后门病毒,与火绒服务器并无关系。
黑客可以通过域名前置攻击,隐藏真正的C&C服务器域名,从而欺骗安全检测设备、误导分析人员的溯源分析。除所述后门病毒外,我们监测到近期还有很多此类具备域名前置的病毒样本在传播。
值得警惕的是,黑客选取用来冒名顶替的域名都是有较高信任度的域名,以此获取信任躲避审查。除了火绒以外,所有在该云平台上使用CDN服务的厂商都有可能会受到此类攻击的影响。
实际上,为了避免此类攻击,基于Google、亚马逊等云服务提供商早已在2018年和2020年禁用域名前置。目前,我们已经将该情况反馈至相关漏洞平台,并同步给所述云厂商,该厂商也已确认此事,表示将于近日修复该逻辑漏洞。
1、详细攻击方式分析
根据火绒工程师排查分析,病毒通过域名前置技术,最终访问真实的C&C服务器的主机名为down1.huorong.cn,该主机名对应的CNAME响应指向病毒要连接到的源站地址为(121.199.1.32)。
而该主机名在早期已被黑客抢注,其所指向的C&C服务器源站地址(121.199.1.32)与火绒无关。除此之外,我们还发现了更多此类曾被C&C服务器所使用的主机名,此类主机名与火绒均无任何关联。相关主机名及CNAME,如下图所示:
曾被C&C服务器所使用的主机名
上述CNAME与源站地址对应关系,如下图所示:
上述CNAME与源站地址对应关系
病毒与C&C服务器通讯流程,如下图所示:
病毒与C&C服务器通讯流程
病毒与C&C服务器通讯数据包内容示意图,如下图所示:
病毒与C&C服务器通讯数据包内容示意图
2、本次出现病毒代码分析
前文中所述病毒样本为使用域名前置技术的Cobalt Strike后门病毒,该病毒在请求远程恶意代码和获取后门指令时均使用了域名前置技术。病毒请求远程恶意代码时所使用的域名前置逻辑,如下图所示:
图片
病毒请求远程恶意代码时所使用的域名前置逻辑
远程恶意代码下载地址为:hxxps://down1.huorong.cn/2IF119(该下载地址只在云服务商的CDN集群内部有效),该数据为混淆后的CobaltStrike后门shellcode代码。调用shellcode相关恶意代码逻辑,如下图所示:
图片
调用shellcode相关恶意代码逻辑
shellcode入口与原始代码解密相关代码,如下图所示:
图片
shellcode入口与原始代码解密相关代码
解密后的shellcode主要用于解密后门病毒的原始代码,相关代码逻辑,如下图所示:
图片
解密后门病毒的原始代码
原始PE镜像在映射过程中会跳过PE头数据,所以在内存中执行时不会出现完整的映射后PE镜像。原始PE为后门病毒,部分后门指令处理逻辑代码,如下图所示:
图片
部分后门指令处理逻辑代码
3、同源样本分析
除此之外,还有更多此类病毒样本利用此类方式下发远程恶意代码。相关病毒行为,如下图所示:
图片
相关样本恶意行为
经分析,我们发现此类样本与报告中所述样本存在同源性,且shellcode下发流程与shellcode混淆形式也完全相同。与报告中提到的shellcode下发方式相同,都是直接将shellcode以二进制形式下发到受害人终端,且数据没有经过任何加密。两者的shellcode入口代码也存在一定的相似性,代码对比情况如下图所示:
图片
shellcode对比图
4、附录
病毒样本hash
IT解决方案:
移动办公安全解决方案 移动应用安全解决方案
在线业务优化解决方案 在线业务安全解决方案
企业数据安全解决方案 分支组网优化解决方案
业务容灾备份解决方案 互联网安全管控解决方案
新型智慧城市解决方案 政务数据中心建设方案
政务专网建设解决方案 互联网安全优化方案
政务移动安全接入方案
业务全网等级保护三级整改建设案例
业务内网等级保护三级整改建设案例
电子政务专网应用加速及传输优化解决方案
政府信息中心上网行为管理解决方案
企业办公无线解决方案 电子商务网站优化解决方案
企业办公桌面云解决方案 数字校园解决方案
桌面云解决方案 数字图书馆解决方案
业务与支撑系统安全 随势而变的ICT
云资源池安全与优化 广电网络解决方案
网络安全等级保护(等保2.0)解决方案
等保一体机解决方案 云安全解决方案
进程管理
以列表或树型展示系统中全部活跃以及非活跃进程信息,并允许用户对其进行操作(强制结束进程、提取内存字符串等)包括:
进程ID、会话ID、全路径、命令行、当前路径、等基本信息;
进程线程信息;
进程模块信息;
进程打开的句柄列表;
进程相关的网络连接信息;
进程产生的网络流量数据;
以不同颜色区分活跃和非活跃进程;
可以定位进程对应程序文件及查看文件属性;
对活跃进程可以进行结束、挂起、恢复操作;
可以关闭进程打开的句柄;
可以提取进程、模块的内存映像或文件中的全部字符串;
可以搜索系统中全部打开的句柄和加载的模块;
启动项管理
可以扫描系统中的启动项,并可以对扫描到的启动项进行禁用、启动和删除;
支持扫描以下类型启动项:
登录类(Logon)
浏览器类(Explorer)
IE浏览器类(Internet Explorer)
系统服务类(Services)
内核驱动类(Drivers)
解码器类(Codecs)
Winsock提供者类(Winsock Providers)
打印提供者类(Print Monitors)
本地安全认证类(LSA Providers)
网络提供者类(Network Providers)
启动执行类(Boot Execute)
映像劫持类(Image Hijacks)
AppInit类(AppInit)
已知动态库类(KnownDLLs)
Winlogon类(Winlogon)
输入法类(IME)
计划任务类(Scheduled Tasks)
内核诊断信息
内核
内核诊断信息包括以下内核信息:
驱动(设备树)信息(Driver Information)
系统服务表(Service Dispatch Table)
内核通知信息(Kernel Notify)
中断描述符表(Interrupt Table)
高亮提示被修改的内核信息;
钩子扫描
扫描内核态IAT、Inline钩子;
扫描用户态IAT、Inline钩子;
可以对指定进程进行快速扫描;
对扫描到的钩子进行指令分析识别多级跳转类型的钩子;
服务管理
查看操作系统中已注册的服务,并可以对其进行查看文件目录,文件属性,定位注册表,启动停止的控制;
驱动扫描
显示操作系统中已注册的驱动,并可以对其进行查看文件目录,文件属性,定位注册表的操作;
网络监控
显示操作系统中正在进行联网行为的进程,并可以对其进行查看文件,文件属性,结束进程的控制;
文件修改
文件修改 诊断工具文件操作
文件修改 诊断工具文件操作
查看已识别的可用文件驱动器内文件,并可以高权限对其进行强制修改删除等操作; [4]
注册表编辑
查看操作系统内的注册表文件,并可以高权限对其进行强制修改删除等操作;
注册表修改
支持地址栏对目标键值的快速定位;
服务区域:
四川火绒 成都火绒 西藏火绒 重庆火绒贵州火绒 贵阳火绒 云南火绒 昆明火绒
四川synology: 德阳火绒 绵阳火绒,攀枝花火绒,西昌火绒,雅安火绒,内江火绒,资阳火绒,南充火绒,眉山火绒,乐山火绒,自贡火绒 泸州火绒 广元火绒 遂宁火绒 宜宾火绒 广安火绒 达州火绒 雅安火绒 巴中火绒 资阳火绒 攀枝花火绒 凉山彝族自治州火绒 甘孜藏族自治州火绒 阿坝藏族羌族自治州火绒
贵州火绒:贵阳火绒 、六盘水火绒、遵义火绒、安顺火绒、铜仁火绒、毕节火绒。 黔南火绒 、黔西南火绒、贵州黔东南火绒
重庆火绒 合川火绒 南川火绒
潼南火绒 铜梁火绒 长寿火绒 璧山火绒 荣昌火绒 綦江火绒 大足火绒 武隆火绒 垫江火绒 奉节火绒
丰都火绒 城口火绒 巫溪火绒 云阳火绒 酉阳火绒 巫山火绒 梁平火绒 彭水火绒 秀山火绒 石柱火绒 开县火绒
昆明火绒、曲靖火绒、玉溪火绒、 保山火绒 、昭通火绒 、丽江火绒 、普洱火绒、 临沧火绒。
文山壮族苗族自治州(文山火绒) 、红河哈尼族彝族自治州(红河火绒) 、西双版纳傣族自治州、(西双版纳火绒) 楚雄彝族自治州(楚雄火绒)、 大理白族自治州(大理火绒)、 德宏傣族景颇族自治州(德宏火绒)、 怒江傈僳族自治州(怒江火绒)、 迪庆藏族自治州(迪庆火绒)
四川 成都 火绒 代理:
火绒成都渠道代理商有哪些;火绒渠道代理商有哪些;火绒nat代理上网;火绒代理商资质查询;火绒总代怎么样;火绒的渠道有哪些;火绒金牌代理;火绒成都金牌经销商;火绒四川金牌经销商;火绒金牌代理商;火绒金牌 成都火绒科技有限公司
火绒科技成都分公司 火绒成都区主管是谁 火绒成都
火绒成都办事处 火绒成都网络安全
火绒成都代理商有哪些 火绒成都防火墙
火绒 防火墙 上网行为管理 具体版本:
邮箱:seclab@huorong.cn
火绒维修,以及更多产品和详情请咨询:
成都科汇科技有限公司 — 专业企业级安全、云计算与IT基础架构服务商
无论您是解决企业级安全、云计算,还是IT基础架构,都可以使您的IT更简单、更安全、更有价值
成都科汇科技有限公司
地址:成都市人民南路四段1号时代数码大厦18F
电话:400-028-1235
QQ:1325383361
手机:180 8195 0517(微信同号)