题外话:
每年网络安全行业都会有新的名词出现,中文一般都是4个字,每个名词听起来都很美,给人巨大的想象空间。
网络安全行业内还有些说法,“不能指望一个系统不出漏洞,也不能指望一个安全系统解决所有问题”。
应该还有很多这些名词/名句,不管是中文还是英文,在网络安全行业这些听起来都像是“鬼话”。
有的“鬼话”是商业,有的是“鬼话”是借口。不管怎样,请别对年轻人说“鬼话”了。
我也不会去溯源这些“鬼话”,因为那些人有的已经不再从事网络安全行业,有的甚至成精了。
案例1: xxxxxx APT特马
2018年双十二,在这互联网行业狂欢的日子,某个针对Linux/IoT平台的APT特马样本恰好被我检测到。我通过简单的YARA规则在VirusTotal平台上搜到数十个样本,过了1年半了至今没有1款杀毒软件能够检测识别。
攻击目标:Linux操作系统,基于ARM和MIPS CPU架构的路由器设备
功能列表:端口扫描,N-day漏洞利用,执行系统命令,文件管理,自升级,自删除,HTTP流量劫持,流量监听,代理转发,社交软件信息搜集等。
案例2: Lazarus Dacls特马
2019年10月25号,我又发现另一个针对Linux平台的APT特马,我将它命名为Linux.Dacls。事实上,Dacls相关样本早在2019年5月份就已经在野传播,间隔5个多月它才被上传到VirusTotal,第一次检出率是2/58。
攻击目标:Windows,Linux,Mac操作系统
功能包括:执行命令,文件管理,进程管理,测试网络访问,C2连接代理,网络扫描。
扩展阅读:
[1] Lazarus Group使用Dacls RAT攻击Linux平台 https://blog.netlab.360.com/dacls-the-dual-platform-rat/
[2] New Mac variant of Lazarus Dacls RAT distributed via Trojanized 2FA app https://blog.malwarebytes.com/threat-analysis/2020/05/new-mac-variant-of-lazarus-dacls-rat-distributed-via-trojanized-2fa-app/
[3] https://malpedia.caad.fkie.fraunhofer.de/actor/lazarus\_group
案例3: MikroTik路由器被监听
2018年8月份,我通过Anglerfish蜜罐观察到TCP/8291端口流量异常,进而分析到和CIA Vault7黑客工具Chimay Red相关的漏洞攻击事件。
其中一个攻击者:37.1.207.114 在控制范围上显著区别于其他所有攻击者。该IP监听了大部分MikroTik RouterOS设备,主要监听TCP协议20,21,25,110,143端口,分别对应FTP-data,FTP,SMTP,POP3,IMAP协议流量。这些应用协议都是通过明文传输数据的,攻击者可以完全掌握连接到该设备下的所有受害者的相关网络流量,包括FTP文件,FTP账号密码,电子邮件内容,电子邮件账号密码等。
攻击目标:Linux操作系统,MikroTik路由器设备
攻击目的:监听路由器网络流量
扩展阅读:
[1] 窃听风云: 你的MikroTik路由器正在被监听 https://blog.netlab.360.com/7500-mikrotik-routers-are-forwarding-owners-traffic-to-the-attackers-how-is-yours/
总结:
很对类Unix操作系统都会运行ELF可执行文件(https://en.wikipedia.org/wiki/Executable\_and\_Linkable\_Format),包括Linux服务器,安卓手机,嵌入式设备等,它的应用场景非常广泛。
相比计算机发展历史,ELF是一个古老的可执行文件格式,IoT (https://en.wikipedia.org/wiki/Internet\_of\_things)也是一个古老的技术系统。这些都是广泛应用于互联网行业的基础技术,然而真正去深入研究这些领域的人却是屈指可数。
在Linux/IoT平台中,数据包嗅探是APT攻击收集信息的主要方法之一。
=======
另外我创建了一个Botnet安全交流群,主要讨论Botnet,Honeypot等话题。(不过群里气氛现在还不活跃)
感兴趣的朋友可以加我的个人微信号:geenul
入群需要备注:真实姓名,所在公司/学校/单位,Botnet安全交流群。
例如:叶根深,360Netlab,Botnet安全交流群
一般我在微信公众号会发一些“软文”,不过我的推特是另一种风格哦,欢迎关注和交流: https://twitter.com/zom3y3