“供應鏈污染”新案例:FlashFXP遭投毒攻擊

2020-01-15 來源:安全豹作者:安全豹

1. 概述

        近期毒霸安全團隊通過“捕風”威脅感知系統監控到一起特殊的竊密后門攻擊事件,網絡中廣泛流傳的“FlashFXP”破解版被黑客惡意篡改植入盜號后門,目前正在通過百度SEM誘導安裝和定向釣魚等方式廣泛傳播。從整個攻擊流程來看,屬于針對分發渠道進行劫持攻擊的“軟件供應鏈污染”典型案例。作為知名的FTP遠程管理工具,“FlashFXP” 在國內程序開發、運維人員中用戶群體廣泛,本次后門攻擊或將導致大量的服務器賬號密碼泄露,隨之引發的數據泄露、滲透攻擊等安全風險不容小覷。通過我們的安全數據觀測和特殊取證獲取的少量泄露數據分析,目前該攻擊事件處于初步階段,后門核心代碼還在測試更新中,但是已經有大量用戶中招,短短數日內有過千臺服務器密碼被竊取,并且由于百度SEM在搜索結果首條展示的特殊誘導性,感染用戶還在逐步增加。我們安全團隊呼吁近期下載使用過“FlashFXP”破解版的用戶盡快檢查后門文件,根據文末提供的IOC信息核查泄露情況并重置服務器密碼,避免安全風險進一步擴大化。

        近幾年“供應鏈攻擊”事件頻發,攻擊手法多樣化,包括構建環境、開發工具、數字簽名、第三方庫、開源項目、維護升級、分發安裝等軟件生產的各個環節都成為攻擊目標。已披露的真實攻擊案例屢見不鮮,2012年漢化版Putty后門事件、2015年“XcodeGhost”事件、2017年“Xshell/CCleaner后門”、2017年升級劫持傳播“NotPetya”勒索病毒、2018年驅動人生升級推送“永恒之藍下載器”病毒,2019年華碩“ShadowHammer后門”,還包括2019年影響數十萬用戶的phpstudy后門事件,基本上每年都會有數例影響范圍巨大的“供應鏈攻擊”安全事件披露,“供應鏈攻擊”過程看似曲折復雜,但往往具備更直接的防御穿透力、更強大的隱蔽性以及更廣泛的安全影響,這些攻擊方式不僅受到到APT攻擊團伙的青睞,對于普通的商業黑客組織、黑灰產團伙來說同樣是慣用手法。

        以本次“FlashFXP”盜號后門攻擊事件為例,目前受影響版本主要為5.4.3970破解版,攻擊者通過二次打包方式patch原始主程序中植入后門,通過多階shellcode+云控機制+反射注入多種技術手法組合完成密碼配置文件的竊取,整個過程隱蔽性較高,無文件落地,無持久化依賴,C&C通訊采用HTTPS協議加密,并且檢測規避主流數據包抓取分析工具。從攻擊事件的關鍵時間節點來看,C&C域名2019年6月創建,10月26日C&C服務器構建啟動,12月13日我們捕獲到首次攻擊,11月22日前后攻擊者開始投放百度SEM進入傳播期。本次后門攻擊流程圖如下所示:

 

2.技術分析

2.1 二次打包

    此次捕獲的文件進行了二次打包并進行UPX壓縮,數字簽名使用亞洲誠信代碼簽名測試證書:


    脫殼后發現本身只是一個加載器,在資源文件中加密隱藏了被patch的FlashFXP:


    加載器為了對抗靜態分析做了特殊處理,關鍵代碼處理邏輯都放在了異常處理中執行,使得IDA工具反編譯C代碼時無法識別。經過還原后可以看出在對解密后的PE進行內存對齊后創建傀儡進程寫入執行:



2.2 patch流程

    被patch的代碼位于進入OEP入口點的第一個函數內部(偏移0x5D3A1),使得第一段shellcode能獲得一個較早的運行時機。

    對比原版代碼,修改后的版本會先保存寄存器現場以便shellcode執行完畢后可以恢復原樣:


    

    第一段shellcode 以及被它解密的第二段shellcode都經過了大量混淆處理有非常多的垃圾指令和延遲代碼對抗分析。第一段shellcode的主要功能就是:1.解密二段shellcode創建線程執行。2.還原patch代碼。第一段shellcode執行完成后會恢復寄存器現場跳轉至還原后的代碼重新執行。二段shellcode 會解密出一階模塊進行內存加載執行:


 

2.3 C&C通訊

    解密出的一階模塊包括后面云控下拉的二階模塊都采用非常生僻的PowerBasic編譯器生成,該編譯器可以把BASIC代碼靜態編譯為獨立的可執行文件,但其內部函數調用傳參采用類似虛擬機的模擬壓棧方式,使得分析成本增加以達到對抗分析的目的。

    一階模塊會建立兩個線程,其中一個線程作為主要通訊線程,另一個作為備用通訊線程。主線程中解密出C&C地址域名如下,算法采用RC4:


   

     獲取用戶本機信息RC4加密后轉換成字符串填充后部分字段,通過調用系統COM接口發起https請求:


    

    從服務器返回的數據中提取[email protected] @!之間的內容,經過解密后為二階模塊下載地址:


    繼續訪問下載地址得到二階模塊數據,解密后內存加載執行:



    在備用線程中,解密出的域名如下,該線程循環訪問以下四個鏈接地址在返回的數據中尋找[email protected]標記,找到后進行解密及內存加載,在處理邏輯上與主線程一致。雖然這些域名還沒有包含惡意數據,但明顯后期攻擊者會利用他們下發新模塊:



2.4 FTP賬號盜取

    二階模塊功能較為簡單,主要收集quick.dat和Sites.dat兩個文件進行上傳,同時監控這個兩個文件是否修改,一旦發現修改立即上傳最新數據。讀取文件二進制數據轉換字符通過調用系統COM接口進行https發送:


    

    雖然FlashFXP對密碼進行了了加密存儲,但是這種加密對于攻擊者而言“形同虛設”,在FlashFXP可以設置開啟展示密碼,導入從用戶處獲取的配置信息即可看到明文:


    

    從目前的攻擊流程看還處于測試階段,核心模塊代碼不斷更新迭代,例如最新變種中加入了對多種流量分析監控工具的檢測規避,使其在后期活動中更加隱蔽:


 

3、溯源

    我們在溯源過程中發現,后門版本為網絡中廣泛流傳的“54.03970”破解版,目前主要通過百度SEM誘導安裝和定向釣魚等方式廣泛傳播。幕后黑手指向“吉林煜通科技有限公司”,并且有針對教育行業定向釣魚攻擊的活動趨勢。

    1)攻擊者通過百度SEM購買“FlashFXP”等部分關鍵詞,在百度搜索結果首頁、百度知道等渠道投放釣魚網站“hxxp://flrj.jlytkj1.cn/s/xjwbbe.noljayf/”,該域名備案公司為“吉林煜通科技有限公司”:


   

     2)除了百度SEM渠道,我們還發現攻擊者通過投放“教學視頻課件試題”資源誘導使用后門版“FlashFXP”客戶端,疑似針對教育領域用戶進行定向釣魚攻擊:


 

    3) 通過安全取證確認該后門程序的C&C服務器部署在香港地區,接入CloudFlare的CDN服務隱藏自身。后續分析獲取該后門在12月初測試推廣期間竊取的部分密碼信息,我們發現短短一周內上報數量已超過1千條,被竊取的全部賬號密碼數據量應該遠超于此,受影響服務器歸屬地分布如下:



4.總結

    面對日益活躍復雜的“供應鏈攻擊”,尤其是國內復雜特殊的網絡環境和軟件使用習慣,監管審核不嚴的第三方下載站、SEM/SEO投毒、網盤共享資源、破解盜版論壇等軟件分發渠道更是病毒木馬的活躍溫床,安全防范任重而道遠。毒霸安全團隊呼吁近期下載使用過“FlashFXP”的企業或用戶盡快檢查后門文件,根據文末提供的IOC信息核查泄露情況并重置服務器密碼,避免安全風險進一步擴大化。目前毒霸可以有效查殺攔截此次“FlashFXP”后門版的黑客攻擊。



IOC:

【MD5】

597B7048CA2EFB9E2C8BE0F982411865

21A7F4D499ED968B565A2E2072C36BA0

9CDFCB8C8306A2AC401CB769AD8A7EE8

 

【URL】

http[:]//flrj.jlytkj1.cn/s/xjwbbe.noljayf/

http[:]//90xxy.com/FlashFXPv54.03970.zip

http[:]//www.kgula.com/article/2044794.html

https[:]//www.update08.com/update.php?download

https[:]//giveyouranaddress.wordpress.com/feed/

https[:]//giveyouranaddress.wordpress.com/

https[:]//github.com/xe5v6sz7iot2n4apjcbh/

https[:]//xoejiad94ypnh56rbcf2.wixsite.com/mysite

https[:]//www.update08.com/update.php?

https[:]//www.update08.com/module/flashfxp.php

47fe5ef6ef1298decaca4b85b8a6db51


? 贵州十一选5…开奖结果