歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

“軟件供應鏈污染”新案例:FlashFXP破解版遭投毒攻擊

來源:本站整理 作者:佚名 時間:2020-01-19 TAG: 我要投稿

一、概述
近期毒霸安全團隊通過“捕風”威脅感知系統監控到一起特殊的竊密后門攻擊事件, 網絡中廣泛流傳的“FlashFXP”破解版被黑客惡意篡改植入盜號后門,目前正在通過百度SEM誘導安裝和定向釣魚等方式廣泛傳播。從整個攻擊流程來看,屬于針對分發渠道進行劫持攻擊的“軟件供應鏈污染”典型案例。作為知名的 FTP遠程管理工具,“FlashFXP” 在國內程序開發、運維人員中用戶群體廣泛,本次后門攻擊或將導致大量的服務器賬號密碼泄露,隨之引發的數據泄露、滲透攻擊等安全風險不容小覷。 通過我們的安全數據觀測和特殊取證獲取的少量泄露數據分析,目前該攻擊事件處于初步階段,后門核心代碼還在測試更新中,但是已經有大量用戶中招,短短數日內有過千臺服務器密碼被竊取,并且由于百度SEM在搜索結果首條展示的特殊誘導性,感染用戶還在逐步增加。我們安全團隊呼吁近期下載使用過“Flash FXP”破解版的用戶盡快檢查后門文件,根據文末提供的IOC信息核查泄露情況并重置服務器密碼,避免安全風險進一步擴大化。
近幾年“供應鏈攻擊”事件頻發,攻擊手法多樣化,包括構建環境、開發工具、數字簽名、第三方庫、開源項目、維護升級、分發安裝等軟件生產的各個環節都成為攻擊目標。已披露的真實攻擊案例屢見不鮮,2012年漢化版Putty后門事件、2015年“XcodeGhost”事件、2017年“Xshel l/CCleaner后門”、2017年升級劫持傳播“Not Petya”勒索病毒、2018年驅動人生升級推送“永恒之藍下載器”病毒,2019年華碩“ShadowHammer后門”,還包括2019年影響數十萬用戶的phpstudy 后門事件,基本上每年都會有數例影響范圍巨大的“供應鏈攻擊”安全事件披露,“供應鏈攻擊”過程看似曲折復雜,但往往具備更直接的防御穿透力、更強大的隱蔽性以及更廣泛的安全影響,這些攻擊方式不僅受到到APT攻擊團伙的青睞,對于普通的商業黑客組織、黑灰產團伙來說同樣是慣用手法。
以本次“FlashFXP”盜號后門攻擊事件為例,目前受影響版本主要為5.4.3970 破解版,攻擊者通過二次打包方式patch原始主程序中植入后門,通過多階shellcode+云控機制+反射注入多種技術手法組合完成密碼配置文件的竊取,整個過程隱蔽性較高,無文件落地,無持久化依賴,C&C 通訊采用HTTPS協議加密,并且檢測規避主流數據包抓取分析工具。從攻擊事件的關鍵時間節點來看,C&C域名2019年6月創建,1 0月26日C&C服務器構建啟動, 12月13日我們捕獲到首次攻擊,11月 22日前后攻擊者開始投放百度SEM進入傳播期。本次后門攻擊流程圖如下所示:

二、技術分析
2.1 二次打包
此次捕獲的文件進行了二次打包并進行UPX壓縮,數字簽名使用亞洲誠信代碼簽名測試證書:

脫殼后發現本身只是一個加載器,在資源文件中加密隱藏了被patch的FlashFXP:

加載器為了對抗靜態分析做了特殊處理,關鍵代碼處理邏輯都放在了異常處理中執行,使得IDA工具反編譯C代碼時無法識別。經過還原后可以看出在對解密后的PE進行內存對齊后創建傀儡進程寫入執行:

2.2 patch流程
被patch的代碼位于進入OEP入口點的第一個函數內部(偏移0x5D3A1),使得第一段shellcode能獲得一個較早的運行時機。對比原版代碼,修改后的版本會先保存寄存器現場以便shellcode執行完畢后可以恢復原樣。

第一段shellcode 以及被它解密的第二段shellcode都經過了大量混淆處理有非常多的垃圾指令和延遲代碼對抗分析。第一段shellcode的主要功能就是:1.解密二段shellcode創建線程執行。2.還原patch代碼。第一段shellcode執行完成后會恢復寄存器現場跳轉至還原后的代碼重新執行。二段shellcode 會解密出一階模塊進行內存加載執行:

2.3 CC通訊
解密出的一階模塊包括后面云控下拉的二階模塊都采用非常生僻的PowerBasic編譯器生成,該編譯器可以把BASIC代碼靜態編譯為獨立的可執行文件,但其內部函數調用傳參采用類似虛擬機的模擬壓棧方式,使得分析成本增加以達到對抗分析的目的。
一階模塊會建立兩個線程,其中一個線程作為主要通訊線程,另一個作為備用通訊線程。主線程中解密出CC地址域名如下,算法采用R**:

獲取用戶本機信息R**加密后轉換成字符串填充后部分字段,通過調用系統COM接口發起https請求:

從服務器返回的數據中提取[email protected] @!之間的內容,經過解密后為二階模塊下載地址:

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 粤36选7最新开奖查询 极速赛车官网 赛车开奖结果 湖北快三开奖结果查询 1号配资 山西11选5走势图手机版 七乐彩中奖规则及奖金 天津十一选五开奖结 深圳风采2020008 浙江20选5近200期开奖号