![黑客组织海莲花作战武器Buni最新曝光,瞄准Linux平台]( "黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台")
“海莲花”,又名 APT32 和 OceanLotus,是来自东南亚地区的黑客组织。该组织至少自2012年开始活跃,长期针对中国能源行业、海事机构、边防机构、卫生部门、海域建设部门、科研院所和航运企业等进行网络攻击。除中国外,“海莲花”的目标还包含全球的政府、军事机构和大型企业,以及本国的媒体、人权和公民社会等相关的组织和个人。
在历史攻击手法中,APT32 一直在尝试不同方法以实现在目标系统上执行恶意代码和绕过安全检测。微步情报局长期对 APT32 的研究与对抗中,于去年下半年捕获到了 APT32 一个未公开的 Linux 后门 “Buni”,并且在威胁狩猎系统的持续监控下发现近期又再度开始活跃。
微步情报局在2021年调查 APT32 资产的过程中,发现 APT32 另外一款未被披露的 Linux 后门,后门设计思路与 APT32 的 “双头龙” 和 MacOS 后门较为相似。这一款后门同样具备结构化流量,在单一进程实例、信息收集、C2编码等技术特点和“双头龙“几乎一致,但指令类型有所不同,并且流量加密方式较为简单,分析人员在后门信息收集中使用到命令“/dev/disk/by-uuid/”和“cat /etc/*release | uniq”中摘取 By 和 uniq 两个单词的前缀,将其命名为 Buni。
起初分析师以为 Buni 是“双头龙“的前身,属于 APT32 不再使用的武器,但在近期中发现这一款 Linux 后门又再度活跃。Buni 后门中硬编码的 C2利用了一些失陷 IoT 设备,并且其控制的主机数量较多,Buni 历史样本文件中的硬编码 C2 使用了长达2年半之久,截止至最新时间,也仅仅只有两款杀软检出。截至2022年,Buni 部分样本在VT平台保持了整整两年的0杀软检测效果;截止至最新时间,也仅仅只有两款杀软检出。
![黑客组织海莲花作战武器Buni最新曝光,瞄准Linux平台]( "黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台")
a)Buni 由安装程序和 Core 两部分构成,安装程序负责释放 Core 和维持权限两部分操作,执行完后会被删除,在观测到的安装程序中使用了 “crontab” 维持权限的方式。
![黑客组织海莲花作战武器Buni最新曝光,瞄准Linux平台]( "黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台")
![黑客组织海莲花作战武器Buni最新曝光,瞄准Linux平台]( "黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台")
Buni 通过文件锁定实现单一进程实例,在 root 和非 root 权限会有两种不同的路径,分别为 “/tmp/.etxh” 和 “/tmp/.edv”。
![黑客组织海莲花作战武器Buni最新曝光,瞄准Linux平台]( "黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台")
Buni 通过随机函数产生6-12的随机长度字符串,调用 prctl 函数设置随机进程名称,伪装成系统进程。
![黑客组织海莲花作战武器Buni最新曝光,瞄准Linux平台]( "黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台")
C2 字符串硬编码存放在 .data 段中,在后门加载后和 0xB1 字节异或解密。
![黑客组织海莲花作战武器Buni最新曝光,瞄准Linux平台]( "黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台")
Buni 通过各类系统命令收集系统的基本信息,包括:CPU 架构、进程 PID、用户名、主机名、网卡信息等,此外,在生成的数据包中还携带了各种常量,最终将各类信息拼接形成一个数组格式的数据包,可以通过 JSON 解析。
![黑客组织海莲花作战武器Buni最新曝光,瞄准Linux平台]( "黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台")
b)cat /etc/*release | uniq & cat /etc/issue
![黑客组织海莲花作战武器Buni最新曝光,瞄准Linux平台]( "黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台")
![黑客组织海莲花作战武器Buni最新曝光,瞄准Linux平台]( "黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台")
![黑客组织海莲花作战武器Buni最新曝光,瞄准Linux平台]( "黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台")
e)获取各类信息构成的数据,会在上线请求时一并被发送,格式化后的数据如下:
![黑客组织海莲花作战武器Buni最新曝光,瞄准Linux平台]( "黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台")
a)Buni 拥有其自定义的通信协议,通信数据包具有一定的结构,数据在构造后经过 XOR 加密,部分命令会存在附加数据,附加数据部分通过 GZIP 方式压缩,其流量结构如下:
![黑客组织海莲花作战武器Buni最新曝光,瞄准Linux平台]( "黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台")
c)在代码中则是通过逐字节 recv 接收的方式解析成流量结构:
![黑客组织海莲花作战武器Buni最新曝光,瞄准Linux平台]( "黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台")
a)指令解析和响应包的构造在同一个函数中所实现,在接收到服务端发送的数据包后逐字节解析后被传入该函数,对解析得到的指令类型执行对应的操作。
![黑客组织海莲花作战武器Buni最新曝光,瞄准Linux平台]( "黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台")
b)在指令分发执行完成后,会构造相同类型数据包进行应答,在响应包中会携带执行结果与错误号。
![黑客组织海莲花作战武器Buni最新曝光,瞄准Linux平台]( "黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台")
c)具体支持的指令类型,如下表所示:
APT32 拥有 Windows、Linux、MacOS 等不同操作系统的作战武器,覆盖移动端、桌面端、IoT多平台,纵观 Linux 和 MacOS 平台中的作战工具同源程度,这必然是属于同一公司所开发的工具,在同一源码上不停的分化迭代,形成了各种针对多架构、多平台、多操作系统的不同类型作战武器。
C2
微步情报局,即微步在线研究响应中心,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。
微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。
1. 内容转载,请微信后台留言:转载+转载平台
2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”
原文始发于微信公众号(微步在线研究响应中心):黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台
评论