3个针对Linux/IoT平台的APT攻击案例分享

题外话：

每年网络安全行业都会有新的名词出现，中文一般都是4个字，每个名词听起来都很美，给人巨大的想象空间。

网络安全行业内还有些说法，“不能指望一个系统不出漏洞，也不能指望一个安全系统解决所有问题”。

应该还有很多这些名词/名句，不管是中文还是英文，在网络安全行业这些听起来都像是“鬼话”。

有的“鬼话”是商业，有的是“鬼话”是借口。不管怎样，请别对年轻人说“鬼话”了。

我也不会去溯源这些“鬼话”，因为那些人有的已经不再从事网络安全行业，有的甚至成精了。

案例1: xxxxxx APT特马 

2018年双十二，在这互联网行业狂欢的日子，某个针对Linux/IoT平台的APT特马样本恰好被我检测到。我通过简单的YARA规则在VirusTotal平台上搜到数十个样本，过了1年半了至今没有1款杀毒软件能够检测识别。

攻击目标：Linux操作系统，基于ARM和MIPS CPU架构的路由器设备

功能列表：端口扫描，N-day漏洞利用，执行系统命令，文件管理，自升级，自删除，HTTP流量劫持，流量监听，代理转发，社交软件信息搜集等。

案例2: Lazarus Dacls特马

2019年10月25号，我又发现另一个针对Linux平台的APT特马，我将它命名为Linux.Dacls。事实上，Dacls相关样本早在2019年5月份就已经在野传播，间隔5个多月它才被上传到VirusTotal，第一次检出率是2/58。

攻击目标：Windows，Linux，Mac操作系统

功能包括：执行命令，文件管理，进程管理，测试网络访问，C2连接代理，网络扫描。

扩展阅读：

[1] Lazarus Group使用Dacls RAT攻击Linux平台 https://blog.netlab.360.com/dacls-the-dual-platform-rat/

[2] New Mac variant of Lazarus Dacls RAT distributed via Trojanized 2FA app https://blog.malwarebytes.com/threat-analysis/2020/05/new-mac-variant-of-lazarus-dacls-rat-distributed-via-trojanized-2fa-app/

[3] https://malpedia.caad.fkie.fraunhofer.de/actor/lazarus\_group

案例3: MikroTik路由器被监听

2018年8月份，我通过Anglerfish蜜罐观察到TCP/8291端口流量异常，进而分析到和CIA Vault7黑客工具Chimay Red相关的漏洞攻击事件。

其中一个攻击者：37.1.207.114 在控制范围上显著区别于其他所有攻击者。该IP监听了大部分MikroTik RouterOS设备，主要监听TCP协议20，21，25，110，143端口，分别对应FTP-data，FTP，SMTP，POP3，IMAP协议流量。这些应用协议都是通过明文传输数据的，攻击者可以完全掌握连接到该设备下的所有受害者的相关网络流量，包括FTP文件，FTP账号密码，电子邮件内容，电子邮件账号密码等。

攻击目标：Linux操作系统，MikroTik路由器设备

攻击目的：监听路由器网络流量

扩展阅读：

[1] 窃听风云: 你的MikroTik路由器正在被监听 https://blog.netlab.360.com/7500-mikrotik-routers-are-forwarding-owners-traffic-to-the-attackers-how-is-yours/

总结：

很对类Unix操作系统都会运行ELF可执行文件（https://en.wikipedia.org/wiki/Executable\_and\_Linkable\_Format），包括Linux服务器，安卓手机，嵌入式设备等，它的应用场景非常广泛。

相比计算机发展历史，ELF是一个古老的可执行文件格式，IoT （https://en.wikipedia.org/wiki/Internet\_of\_things）也是一个古老的技术系统。这些都是广泛应用于互联网行业的基础技术，然而真正去深入研究这些领域的人却是屈指可数。

在Linux/IoT平台中，数据包嗅探是APT攻击收集信息的主要方法之一。

=======

另外我创建了一个Botnet安全交流群，主要讨论Botnet，Honeypot等话题。（不过群里气氛现在还不活跃）

感兴趣的朋友可以加我的个人微信号：geenul

入群需要备注：真实姓名，所在公司/学校/单位，Botnet安全交流群。

例如：叶根深，360Netlab，Botnet安全交流群

一般我在微信公众号会发一些“软文”，不过我的推特是另一种风格哦，欢迎关注和交流: https://twitter.com/zom3y3