冒充火绒域名 黑客利用云服务器漏洞投放后门病毒
值得警惕的是,黑客选取用来冒名顶替的域名都是有较高信任度的域名,以此获取信任躲避审查。除了火绒以外,所有在该云平台上使用CDN服务的厂商都有可能会受到此类攻击的影响。
实际上,为了避免此类攻击,基于Google、亚马逊等云服务提供商早已在2018年和2020年禁用域名前置。目前,我们已经将该情况反馈至相关漏洞平台,并同步给所述云厂商,该厂商也已确认此事,表示将于近日修复该逻辑漏洞。
1、详细攻击方式分析
根据火绒工程师排查分析,病毒通过域名前置技术,最终访问真实的C&C服务器的主机名为down1.huorong.cn,该主机名对应的CNAME响应指向病毒要连接到的源站地址为(121.199.1.32)。
而该主机名在早期已被黑客抢注,其所指向的C&C服务器源站地址(121.199.1.32)与火绒无关。除此之外,我们还发现了更多此类曾被C&C服务器所使用的主机名,此类主机名与火绒均无任何关联。相关主机名及CNAME,如下图所示:
冒充火绒域名 黑客利用云服务器漏洞投放后门病毒
曾被C&C服务器所使用的主机名
上述CNAME与源站地址对应关系:
冒充火绒域名 黑客利用云服务器漏洞投放后门病毒
上述CNAME与源站地址对应关系
病毒与C&C服务器通讯流程:
冒充火绒域名 黑客利用云服务器漏洞投放后门病毒
病毒与C&C服务器通讯流程
冒充火绒域名 黑客利用云服务器漏洞投放后门病毒
病毒与C&C服务器通讯数据包内容示意图
2、本次出现病毒代码分析
前文中所述病毒样本为使用域名前置技术的Cobalt Strike后门病毒,该病毒在请求远程恶意代码和获取后门指令时均使用了域名前置技术。病毒请求远程恶意代码时所使用的域名前置逻辑:
冒充火绒域名 黑客利用云服务器漏洞投放后门病毒
病毒请求远程恶意代码时所使用的域名前置逻辑
远程恶意代码下载地址为:
hxxps://down1.huorong.cn/2IF119(该下载地址只在云服务商的CDN集群内部有效),该数据为混淆后的Cobalt Strike后门shellcode代码。调用shellcode相关恶意代码逻辑:
冒充火绒域名 黑客利用云服务器漏洞投放后门病毒
调用shellcode相关恶意代码逻辑
shellcode入口与原始代码解密相关代码:
冒充火绒域名 黑客利用云服务器漏洞投放后门病毒
shellcode入口与原始代码解密相关代码
解密后的shellcode主要用于解密后门病毒的原始代码,相关代码逻辑,如下图所示:
冒充火绒域名 黑客利用云服务器漏洞投放后门病毒
解密后门病毒的原始代码
原始PE镜像在映射过程中会跳过PE头数据,所以在内存中执行时不会出现完整的映射后PE镜像。原始PE为后门病毒,部分后门指令处理逻辑代码,如下图所示:
冒充火绒域名 黑客利用云服务器漏洞投放后门病毒
部分后门指令处理逻辑代码
3、同源样本分析
除此之外,还有更多此类病毒样本利用此类方式下发远程恶意代码。相关病毒行为,如下图所示:
冒充火绒域名 黑客利用云服务器漏洞投放后门病毒
相关样本恶意行为
经分析,我们发现此类样本与报告中所述样本存在同源性,且shellcode下发流程与shellcode混淆形式也完全相同。与报告中提到的shellcode下发方式相同,都是直接将shellcode以二进制形式下发到受害人终端,且数据没有经过任何加密。两者的shellcode入口代码也存在一定的相似性,代码对比情况如下图所示:
冒充火绒域名 黑客利用云服务器漏洞投放后门病毒
4、附录
病毒样本hash
版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
