长亭百川云 - 文章详情

3个针对Linux/IoT平台的APT攻击案例分享

EnjoyHacking

79

2024-07-13

题外话:

每年网络安全行业都会有新的名词出现,中文一般都是4个字,每个名词听起来都很美,给人巨大的想象空间。

网络安全行业内还有些说法,“不能指望一个系统不出漏洞,也不能指望一个安全系统解决所有问题”。

应该还有很多这些名词/名句,不管是中文还是英文,在网络安全行业这些听起来都像是“鬼话”。

有的“鬼话”是商业,有的是“鬼话”是借口。不管怎样,请别对年轻人说“鬼话”了。

我也不会去溯源这些“鬼话”,因为那些人有的已经不再从事网络安全行业,有的甚至成精了。

案例1: xxxxxx APT特马 

2018年双十二,在这互联网行业狂欢的日子,某个针对Linux/IoT平台的APT特马样本恰好被我检测到。我通过简单的YARA规则在VirusTotal平台上搜到数十个样本,过了1年半了至今没有1款杀毒软件能够检测识别。

攻击目标:Linux操作系统,基于ARM和MIPS CPU架构的路由器设备

功能列表:端口扫描,N-day漏洞利用,执行系统命令,文件管理,自升级,自删除,HTTP流量劫持,流量监听,代理转发,社交软件信息搜集等。

案例2: Lazarus Dacls特马

2019年10月25号,我又发现另一个针对Linux平台的APT特马,我将它命名为Linux.Dacls。事实上,Dacls相关样本早在2019年5月份就已经在野传播,间隔5个多月它才被上传到VirusTotal,第一次检出率是2/58。

攻击目标:Windows,Linux,Mac操作系统

功能包括:执行命令,文件管理,进程管理,测试网络访问,C2连接代理,网络扫描。

扩展阅读:

[1] Lazarus Group使用Dacls RAT攻击Linux平台 https://blog.netlab.360.com/dacls-the-dual-platform-rat/

[2] New Mac variant of Lazarus Dacls RAT distributed via Trojanized 2FA app https://blog.malwarebytes.com/threat-analysis/2020/05/new-mac-variant-of-lazarus-dacls-rat-distributed-via-trojanized-2fa-app/

[3] https://malpedia.caad.fkie.fraunhofer.de/actor/lazarus\_group

案例3: MikroTik路由器被监听

2018年8月份,我通过Anglerfish蜜罐观察到TCP/8291端口流量异常,进而分析到和CIA Vault7黑客工具Chimay Red相关的漏洞攻击事件。

其中一个攻击者:37.1.207.114 在控制范围上显著区别于其他所有攻击者。该IP监听了大部分MikroTik RouterOS设备,主要监听TCP协议20,21,25,110,143端口,分别对应FTP-data,FTP,SMTP,POP3,IMAP协议流量。这些应用协议都是通过明文传输数据的,攻击者可以完全掌握连接到该设备下的所有受害者的相关网络流量,包括FTP文件,FTP账号密码,电子邮件内容,电子邮件账号密码等。

攻击目标:Linux操作系统,MikroTik路由器设备

攻击目的:监听路由器网络流量

扩展阅读:

[1] 窃听风云: 你的MikroTik路由器正在被监听 https://blog.netlab.360.com/7500-mikrotik-routers-are-forwarding-owners-traffic-to-the-attackers-how-is-yours/

总结:

很对类Unix操作系统都会运行ELF可执行文件(https://en.wikipedia.org/wiki/Executable\_and\_Linkable\_Format),包括Linux服务器,安卓手机,嵌入式设备等,它的应用场景非常广泛。

相比计算机发展历史,ELF是一个古老的可执行文件格式,IoT (https://en.wikipedia.org/wiki/Internet\_of\_things)也是一个古老的技术系统。这些都是广泛应用于互联网行业的基础技术,然而真正去深入研究这些领域的人却是屈指可数。

在Linux/IoT平台中,数据包嗅探是APT攻击收集信息的主要方法之一。

=======

另外我创建了一个Botnet安全交流群,主要讨论Botnet,Honeypot等话题。(不过群里气氛现在还不活跃)

感兴趣的朋友可以加我的个人微信号:geenul

入群需要备注:真实姓名,所在公司/学校/单位,Botnet安全交流群。

例如:叶根深,360Netlab,Botnet安全交流群

一般我在微信公众号会发一些“软文”,不过我的推特是另一种风格哦,欢迎关注和交流: https://twitter.com/zom3y3

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2