溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

如何進行Sophos防火墻0day漏洞分析

發(fā)布時間:2021-12-20 11:47:15 來源:億速云 閱讀:338 作者:柒染 欄目:網(wǎng)絡(luò)安全

這期內(nèi)容當(dāng)中小編將會給大家?guī)碛嘘P(guān)如何進行Sophos防火墻0day漏洞分析,文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。

攻擊者使用了未知的SQL注入漏洞針對Sophos防火墻發(fā)起攻擊,該漏洞可通過防火墻遠(yuǎn)程代碼執(zhí)行。攻擊中使用了一系列Linux Shell腳本,下載了為防火墻操作系統(tǒng)編譯的惡意軟件。該漏洞分析針對的是Sophos產(chǎn)品,旨在從防火墻竊取敏感信息。

漏洞分析

攻擊者發(fā)現(xiàn)并利用了零日SQL注入遠(yuǎn)程代碼執(zhí)行漏洞,利用此漏洞攻擊者能夠在數(shù)據(jù)庫表中插入單行命令。

如何進行Sophos防火墻0day漏洞分析

注入命令觸發(fā)受影響設(shè)備漏洞,從惡意域sophosfirewallupdate.com下載名為Install.sh的Linux Shell腳本。該命令還將此Shell腳本寫入/tmp目錄,使用chmod指定為可執(zhí)行文件并執(zhí)行。該腳本(以x.sh形式寫入設(shè)備)運行了一系列SQL命令,并將其他文件植入到虛擬文件系統(tǒng)中。

最初Install.sh腳本運行了許多Postgres SQL命令,修改數(shù)據(jù)庫中某些表值或?qū)⑦@些表歸零,其中的一個表記錄了管理IP地址,從而掩蓋攻擊。但是在某些設(shè)備上,shell腳本的活動導(dǎo)致攻擊者的SQL命令顯示在防火墻管理面板上。

如何進行Sophos防火墻0day漏洞分析該腳本還會把其他Shell腳本放入/tmp目錄,并修改防火墻操作系統(tǒng)的Shell腳本,在腳本末尾添加一組命令,確保它在每次防火墻啟動時都能運行。

如何進行Sophos防火墻0day漏洞分析技術(shù)分析

安裝程序腳本x.sh植入了兩個新的Shell腳本,并修改了操作系統(tǒng)的腳本。植入腳本之一為.lp.sh,其主要功能是連接到惡意的sophosfirewallupdate,下載在防火墻操作系統(tǒng)上運行的Linux ELF可執(zhí)行文件。 腳本將下載的文件寫入/tmp中,名為b。

如何進行Sophos防火墻0day漏洞分析b程序在運行時會從設(shè)備的文件系統(tǒng)中刪除自身,它僅存在于內(nèi)存中。 它會出現(xiàn)在進程列表中,進程名為cssconf.bin與正常運行在防火墻的cscconf.bin合法進程相差一個字符。 它列出了其父進程ID為1,這是合法cscconf.bin不會做的。

如何進行Sophos防火墻0day漏洞分析

當(dāng)b處于內(nèi)存中時,它每3到6個小時重復(fù)執(zhí)行任務(wù),第一次運行時會隨機選擇一個延遲間隔。首先,b檢查是否可與43.229.55.44建立連接。 如果無法與該IP地址建立連接,它會嘗試解析惡意域sophosproductupdate.com的IP地址。

如何進行Sophos防火墻0day漏洞分析

如果它解析了該域的IP,并且DNS結(jié)果沒有返回值127.0.0.1,它會下載另一個名為Sophos.dat的Linux ELF可執(zhí)行文件。

Install.sh/x.sh腳本植入的第二個Shell腳本以.pg.sh的文件名寫入/tmp目錄。它的主要目的是下載ELF可執(zhí)行文件,該文件在Web服務(wù)器上稱為bk,并以.post_MI名稱寫入文件系統(tǒng)。

第一階段的dropper Install.sh運行了許多Postgres SQL命令。這些命令修改了特定的服務(wù)值,每當(dāng)執(zhí)行該服務(wù)時都會執(zhí)行.post_MI,在每次重新啟動時都會啟動惡意軟件。該可執(zhí)行文件的功能有限,它檢查是否已將名為.a.PGSQL的文件寫入/tmp目錄,如果找不到,則會下載ragnarokfromasgard.com上托管的patch.sh腳本。在對攻擊進行分析時,該服務(wù)器沒有響應(yīng)。

如何進行Sophos防火墻0day漏洞分析

第三個腳本用來修改防火墻內(nèi)部操作系統(tǒng),名為generate_curl_ca_bundle.sh。在修改原始腳本之前,Install.sh/x.sh腳本對原始文件備份(在文件名.generate_curl_ca_bundle.sh之前加了點)。該代碼會植入了另一個shell腳本/tmp/I。

腳本I具有兩個主要功能:首先它新建/tmp/.a.PGSQL文件。然后從sophosfirewallupdate域中檢索了一個名為lc的腳本文件,并將其以.n.sh寫入/tmp目錄并執(zhí)行。該腳本復(fù)制了與.lp.sh腳本,并嘗試從惡意的sophosfirewallupdate網(wǎng)站下載并執(zhí)行b ELF可執(zhí)行文件。

數(shù)據(jù)泄露

惡意軟件下載并執(zhí)行在遠(yuǎn)程服務(wù)器上名為Sophos.dat的文件,并以2own保存到文件系統(tǒng)。

如何進行Sophos防火墻0day漏洞分析

該惡意軟件的主要任務(wù)是數(shù)據(jù)盜竊,它會檢索防火墻中存儲的各種數(shù)據(jù)庫表內(nèi)容并運行操作系統(tǒng)命令。 每個步驟中惡意軟件都會收集信息,然后將其臨時存儲在防火墻的Info.xg文件中。

首先會嘗試搜索防火墻外部IP地址,先通過網(wǎng)站ifconfig.me來查詢,如果該網(wǎng)站無法訪問,它會嘗試通過checkip.dyndns.org查詢。接下來查詢防火墻數(shù)據(jù)存儲區(qū)域,檢索防火墻及其用戶的信息。下圖顯示了惡意軟件入侵能力。 

如何進行Sophos防火墻0day漏洞分析

該惡意軟件搜集防火墻信息包括:

1、防火墻的許可證和序列號

2、設(shè)備上存儲的用戶郵件列表,管理員帳戶電子郵件

3、防火墻用戶名稱,用戶名,密碼以及管理員帳戶密碼。密碼不是以純文本格式存儲。

4、將防火墻用于SSL VPN的用戶ID和使用“clientless” VPN連接的帳戶列表。

該惡意軟件還查詢了防火墻的內(nèi)部數(shù)據(jù)庫,檢索防火墻用戶的IP地址分配權(quán)限列表,以及設(shè)備本身的信息:操作系統(tǒng)版本,CPU的類型以及內(nèi)存,自上次重啟以來已運行了多長時間,ifconfig和ARP表。

如何進行Sophos防火墻0day漏洞分析惡意軟件將所有信息寫入Info.xg,使用tar壓縮工具對其進行壓縮,然后使用OpenSSL加密文件。 攻擊者使用Triple-DES算法對文件進行加密,使用“GUCCI”一詞作為密碼,上傳到IP為38.27.99.69的服務(wù)器上,然后刪除在收集信息時臨時創(chuàng)建的文件。

如何進行Sophos防火墻0day漏洞分析IOCs

如何進行Sophos防火墻0day漏洞分析Network indicators

URLs

hxxps://sophosfirewallupdate.com/sp/Install.sh

hxxp://sophosfirewallupdate.com/sh_guard/lc

hxxps://sophosfirewallupdate.com/bk

hxxps://sophosfirewallupdate.com/sp/lp

hxxps://ragnarokfromasgard.com/sp/patch.sh

hxxps://sophosfirewallupdate.com/sp/sophos.dat

hxxps://sophosfirewallupdate.com/in_exit

hxxps://sophosfirewallupdate.com/sp/lpin

hxxp://sophosfirewallupdate.com/bkin

hxxp://filedownloaderservers.com/bkin

hxxps://sophosfirewallupdate.com/sp/p.sh

hxxps://sophosfirewallupdate.com/sp/ae.sh

Domains

sophosfirewallupdate.com

filedownloaderservers.com

ragnarokfromasgard.com

sophosenterprisecenter.com

sophoswarehouse.com

sophosproductupdate.com

sophostraining.org

Additional suspicious domains

filedownloaderserverx.com

filedownloaderserver.com

updatefileservercross.com

IPs

43.229.55.44

38.27.99.69

Filesystem paths

/tmp/x.sh

/var/newdb/global/.post_MI

/scripts/vpn/ipsec/generate_curl_ca_bundle.sh (modified)

/scripts/vpn/ipsec/.generate_curl_ca_bundle.sh (original)

/tmp/I

/tmp/.a.PGSQL

/tmp/.n.sh

/tmp/.pg.sh

/tmp/.lp.sh

/tmp/b

/tmp/2own

/tmp/Info.xg

/tmp/%s_.xg.rel

/tmp/%s_.xg.salt

/tmp/ip (result of http://checkip.dyndns.org/ip_dyn)

/tmp/ip_dyn (result of https://ifconfig.me/ip)

上述就是小編為大家分享的如何進行Sophos防火墻0day漏洞分析了,如果剛好有類似的疑惑,不妨參照上述分析進行理解。如果想知道更多相關(guān)知識,歡迎關(guān)注億速云行業(yè)資訊頻道。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI