图片展示

 400-9909-139

申请试用

  • 公司名称 *

  • 姓名

  • 电话 *

  • 所属行业

  • 留言内容

  • 提交

    • 验证码
    看不清?换一张
    取消
    确定
  2. 首页
  3. /
  4. 新闻中心
  5. /
  6. 行业动态
  7. /
  8. 冒充火绒域名 黑客利用云服务器漏洞投放后门病毒

冒充火绒域名 黑客利用云服务器漏洞投放后门病毒

发布时间:2021-05-14 15:13:21

—发布时间—

2021-05-14 15:13:21

冒充火绒域名 黑客利用云服务器漏洞投放后门病毒



近日,有友商向火绒反馈,检测到有后门病毒下载地址指向火绒相关域名,希望火绒协同排查。经过排查发现,黑客利用某云服务商的漏洞,实施域名前置的攻击方式(Domain Fronting),欺骗检测设备,投放后门病毒,与火绒服务器并无关系。

黑客可以通过域名前置攻击,隐藏真正的C&C服务器域名,从而欺骗安全检测设备、误导分析人员的溯源分析。除所述后门病毒外,我们监测到近期还有很多此类具备域名前置的病毒样本在传播。

 

Image-0.png

 


值得警惕的是,黑客选取用来冒名顶替的域名都是有较高信任度的域名,以此获取信任躲避审查。除了火绒以外,所有在该云平台上使用CDN服务的厂商都有可能会受到此类攻击的影响。

实际上,为了避免此类攻击,基于Google、亚马逊等云服务提供商早已在2018年和2020年禁用域名前置。目前,我们已经将该情况反馈至相关漏洞平台,并同步给所述云厂商,该厂商也已确认此事,表示将于近日修复该逻辑漏洞。

 

1、详细攻击方式分析

根据火绒工程师排查分析,病毒通过域名前置技术,访问真实的C&C服务器的主机名为down1.huorong.cn,该主机名对应的CNAME响应指向病毒要连接到的源站地址为(121.199.1.32)。

而该主机名在早期已被黑客抢注,其所指向的C&C服务器源站地址(121.199.1.32)与火绒无关。除此之外,我们还发现了更多此类曾被C&C服务器所使用的主机名,此类主机名与火绒均无任何关联。相关主机名及CNAME,如下图所示:

 


曾被C&C服务器所使用的主机名

 

上述CNAME与源站地址对应关系,如下图所示:

 


上述CNAME与源站地址对应关系

 

病毒与C&C服务器通讯流程,如下图所示:

 


病毒与C&C服务器通讯流程

 

病毒与C&C服务器通讯数据包内容示意图,如下图所示:

 


病毒与C&C服务器通讯数据包内容示意图

 

2、本次出现病毒代码分析

前文中所述病毒样本为使用域名前置技术的Cobalt Strike后门病毒,该病毒在请求远程恶意代码和获取后门指令时均使用了域名前置技术。病毒请求远程恶意代码时所使用的域名前置逻辑,如下图所示:

 


病毒请求远程恶意代码时所使用的域名前置逻辑

 

远程恶意代码下载地址为:hxxps://down1.huorong.cn/2IF119(该下载地址只在云服务商的CDN集群内部有效),该数据为混淆后的Cobalt Strike后门shellcode代码。调用shellcode相关恶意代码逻辑,如下图所示:

 


调用shellcode相关恶意代码逻辑

 


shellcode入口与原始代码解密相关代码,如下图所示:

 


shellcode入口与原始代码解密相关代码

 


解密后的shellcode主要用于解密后门病毒的原始代码,相关代码逻辑,如下图所示:

 


解密后门病毒的原始代码

 


原始PE镜像在映射过程中会跳过PE头数据,所以在内存中执行时不会出现完整的映射后PE镜像。原始PE为后门病毒,部分后门指令处理逻辑代码,如下图所示:

 


部分后门指令处理逻辑代码

 


3、同源样本分析

除此之外,还有更多此类病毒样本利用此类方式下发远程恶意代码。相关病毒行为,如下图所示:

 

相关样本恶意行为

 


经分析,我们发现此类样本与报告中所述样本存在同源性,且shellcode下发流程与shellcode混淆形式也完全相同。与报告中提到的shellcode下发方式相同,都是直接将shellcode以二进制形式下发到受害人终端,且数据没有经过任何加密。两者的shellcode入口代码也存在一定的相似性,代码对比情况如下图所示:

 


shellcode对比图

 


4、附录

病毒样本hash

 


作者:      浏览量:

/NewsDetail/2612961.html

/NewsDetail/2612973.html

分享

关于比特信息

公司成立于2018年,坐落于粤港澳大湾区-中山,专注为中大型企业提供全套企业信息安全解决方案,包括但不限于服务器虚拟化、桌面虚拟化、信息安全、数据存储、行为管理、工控安全、私有云、公有云等服务。

 

Copyright © 广东比特信息科技有限公司 All Rights Reserved. 备案号:粤ICP备19007201号-1

技术支持电话:18825383068

联系方式

咨询电话

400-9909-139

中山市石岐街道江怡街2号富力中心2栋20楼2004

联系人微信二维码

关于比特信息

比特信息科技是一家专注于阿里云、网络安全及数据安全的企业,“诚信、专业、创新”是比特信息对待客户及合作伙伴的最基本原则。比特信息科技通过与各大软、硬件厂商的紧密合作,为用户提供优质、高效、实用的整体信息化解决方案,为客户提供阿里云、网络安全、主机安全、应用安全、数据安全等服务。

图片展示

联系方式

咨询电话

139-2450-5487

中山市石岐街道江怡街2号富力中心2栋20楼2004

关注公众号

Copyright © 广东比特信息科技有限公司 

技术支持电话:18825383068

添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了