-
OldFox 至少自2014年起开始活跃,近年来已成功入侵多家国内报社媒体的企业内网,大肆窃取企业内部敏感信息,并伺机投放非法链接。
-
OldFox 通常利用 Web 侧漏洞、暴破等方式入侵目标企业的 Web 服务器,在部署自制后门木马(基于开源工具 PRISM 后门)后,伺机在企业内网进行横向移动,窃取用户数据、内部文档等敏感信息,危害程度极高。
-
OldFox 选择的攻击目标分布在报社媒体、手机厂商、政府、金融等行业,攻击时多为手工操作,并大量使用自行编译的开源攻击工具,隐蔽性强。
-
OldFox 平均每三个月更换一次木马回连服务器地址,相关IP均位于美国、中国香港等地,警惕性高,具备较强的反侦察意识。
-
OldFox 与赌博、色情、诈骗等非法活动关系密切。
微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线主机威胁检测与响应平台 OneEDR 、本地威胁情报管理平台 TIP 、微步云沙箱等均已支持对此次攻击事件和团伙的检测。
建议相关行业的客户对该团伙攻击活动高度重视,利用相关情报第一时间开展自查。如需微步在线协助检测,请联系我们 [email protected]。
|
攻击事件 |
攻击时间 |
影响 |
|
入侵百余家手机厂商、应用商店,推广非法博彩应用 |
2014-2017 |
大量敏感信息泄露,被动推送非法博彩应用、广告 |
|
入侵数十家报社媒体,推广非法博彩网站 |
2017-2021 |
大量敏感信息泄露,被动推送非法博彩广告 |
微步在线在某报社媒体企业的应急响应中取证到一款修改版的 Pirsm 后门木马,该木马在受害主机上会伪装成 Linux 常见文件,利用系统自启动项实现开机运行,攻击者几乎可以随时登录操作。
经过对某受控服务器的排查,事实表明攻击者早在2017年就利用 Struts2 漏洞获取了该服务器的控制权限,在植入后门程序后,还将 ssh 服务的 sshd 文件替换为木马化版本,该木马化 sshd 可记录所有 ssh 登录者的账户密码至特定文件。在长达一年的控制期中,攻击者以该服务器为跳板,利用窃密工具记录的敏感信息攻陷了企业内网中的其他机器,窃取大量敏感信息,甚至将网络博彩广告植入该报社媒体的网站中进行推广。
该团伙攻击流程如下图所示:
|
|
功能描述 |
链接 |
|
Pirsm |
PRISM 是一个用户空间隐身反弹shell 后门 |
https://github.com/andreafabrizi/prism |
|
metasploit-framework |
渗透测试框架 |
https://github.com/rapid7/metasploit-framework |
|
subDomainsBrute |
高并发的DNS暴力枚举工具 |
https://github.com/lijiejie/subDomainsBrute |
|
LNScan |
内部网络扫描器 |
https://github.com/sowish/LNScan |
|
reGeorg |
内网穿透 |
https://github.com/sensepost/reGeorg |
|
weakfilescan |
敏感文件目录探测 |
https://github.com/ring04h/weakfilescan |
|
vncpwd |
VNC密码解密器 |
https://github.com/jeroennijhof/vncpwd |
|
pwnginx |
nginx 后门,提供 shell 访问、socks5 隧道、http 密码嗅探。 |
https://github.com/t57root/pwnginx |
反弹shell木马
木马化sshd
持久化
-
修改开机启动脚本
在系统启动目录"/etc/init.d/"下的文件中添加运行木马命令。
-
将 sshd 等常用工具替换为攻击者修改的木马化版本
以 sshd 为例,木马化 sshd 存有后门密码,并且会记录所有 ssh 登录的用户名和密码。
-
利用用户态 rootkit 来隐藏木马痕迹
利用用户态预加载的动态链接库实现对系统调用的 hook,来隐藏木马进程名。
-
除上述两款攻击工具外,OldFox 至少还使用了 metasploit-framework5、subDomainsBrute6、LNScan7、reGeorg8、weakfilescan9、vncpwd10、vulhub11、pwnginx12 等大量开源攻击工具,可对目标服务器实施暴力破解、漏洞扫描、端口转发等定向攻击,手法老道,技术水平较高。 -
OldFox 在登录管理该服务器时多使用美国、柬埔寨、香港、台湾等地的境外代理IP,具备较强的反侦察意识。 -
OldFox 团伙控服务器超百台,涉及国内多家报社媒体企业以及部分金融、媒体和政府网站,危害程度较高。
微步在线主机威胁检测与响应平台 OneEDR 已支持 OldFox 木马后门的检测,在客户真实环境中发现安全威胁。
微步云沙箱支持检测“老狐狸”样本及sshd后门程序。
综合上述信息分析认为,OldFox 是一个专业黑客团伙,在入侵特定用户窃取敏感资料的同时,还长期参与赌博、色情、诈骗等非法活动,对企业和网民的危害性极高,需要引起相关部门的关注。该团伙画像如下:
|
目标国家 |
中国 |
|
基础设施 |
主要集中在美国、中国香港等地 |
|
活跃时间 |
2014年至今 |
|
目标行业 |
报社媒体、金融、政府等 |
|
攻击目的 |
盗取企业敏感信息,推广博彩网站、应用 |
|
常用工具 |
Pirsm、sshd、metasploit-framework、subDomainsBrute、LNScan、reGeorg、weakfilescan、vncpwd、pwnginx |
|
攻击特点 |
漏洞利用,暴力破解,内网横移 |
SHA256
|
|
|
技术 |
详细信息 |
|
Initial Access |
T1190 |
|
利用web应用方面的漏洞拿到目标的web服务器控制权限。 |
|
Execution |
T1059.004 |
Command and Scripting Interpreter:Unix Shell |
利用反弹shell控制获得权限的服务器。 |
|
|
T1554 |
Compromise Client Software Binary |
|
|
T1037 |
Boot or Logon Initialization Scripts |
修改系统启动目录"/etc/init.d/"下的文件,添加后门木马运行命令,实现开机自启动。 |
|
|
Defense Evasion |
T1564 |
Hide Artifacts |
通过rootkit 隐藏木马进程。 |
|
|
T1556 |
Modify Authentication Process |
替换sshd等常用工具为木马化版本,收集ssh登录该服务器的账户、密码等信息。 |
|
Discovery |
T1082 |
System Information |
在机器上收集信息 |
|
|
T1021.0 04 |
Remote Services: SSH |
收集SSH登录凭证,可用于横向移动 |
|
T1210 |
Exploitation of Remote Services |
利用LNScan进行内网扫描 |
|
|
Command and Control |
T1090 |
|
使用reGeorg进行内网穿透 |
|
Exfiltration |
T1041 |
Exfiltration Over C2 |
提取收集的数据 |
内容转载与引用
第一时间获取最新的威胁情报
原文始发于微信公众号(微步在线研究响应中心):“老狐狸”定向攻击遭曝光,手法老道,相关行业亟需自查!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论