OldFox 至少自2014年起开始活跃,近年来已成功入侵多家国内报社媒体的企业内网,大肆窃取企业内部敏感信息,并伺机投放非法链接。
OldFox 通常利用 Web 侧漏洞、暴破等方式入侵目标企业的 Web 服务器,在部署自制后门木马(基于开源工具 PRISM 后门)后,伺机在企业内网进行横向移动,窃取用户数据、内部文档等敏感信息,危害程度极高。
OldFox 选择的攻击目标分布在报社媒体、手机厂商、政府、金融等行业,攻击时多为手工操作,并大量使用自行编译的开源攻击工具,隐蔽性强。
OldFox 平均每三个月更换一次木马回连服务器地址,相关IP均位于美国、中国香港等地,警惕性高,具备较强的反侦察意识。
OldFox 与赌博、色情、诈骗等非法活动关系密切。
微步在线通过对相关样本、IP
和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线主机威胁检测与响应平台 OneEDR 、本地威胁情报管理平台 TIP 、微步云沙箱等均已支持对此次攻击事件和团伙的检测。
建议相关行业的客户对该团伙攻击活动高度重视,利用相关情报第一时间开展自查。如需微步在线协助检测,请联系我们 [email protected]。
攻击事件 | 攻击时间 | 影响 |
入侵百余家手机厂商、应用商店,推广非法博彩应用 | 2014-2017 | 大量敏感信息泄露,被动推送非法博彩应用、广告 |
入侵数十家报社媒体,推广非法博彩网站 | 2017-2021 | 大量敏感信息泄露,被动推送非法博彩广告 |
微步在线在某报社媒体企业的应急响应中取证到一款修改版的 Pirsm 后门木马,该木马在受害主机上会伪装成 Linux 常见文件,利用系统自启动项实现开机运行,攻击者几乎可以随时登录操作。
经过对某受控服务器的排查,事实表明攻击者早在2017年就利用 Struts2 漏洞获取了该服务器的控制权限,在植入后门程序后,还将 ssh 服务的 sshd 文件替换为木马化版本,该木马化 sshd 可记录所有 ssh 登录者的账户密码至特定文件。在长达一年的控制期中,攻击者以该服务器为跳板,利用窃密工具记录的敏感信息攻陷了企业内网中的其他机器,窃取大量敏感信息,甚至将网络博彩广告植入该报社媒体的网站中进行推广。
该团伙攻击流程如下图所示:
功能描述 | 链接 | |
Pirsm | PRISM 是一个用户空间隐身反弹shell 后门 | https://github.com/andreafabrizi/prism |
metasploit-framework | 渗透测试框架 | https://github.com/rapid7/metasploit-framework |
subDomainsBrute | 高并发的DNS暴力枚举工具 | https://github.com/lijiejie/subDomainsBrute |
LNScan | 内部网络扫描器 | https://github.com/sowish/LNScan |
reGeorg | 内网穿透 | https://github.com/sensepost/reGeorg |
weakfilescan | 敏感文件目录探测 | https://github.com/ring04h/weakfilescan |
vncpwd | VNC密码解密器 | https://github.com/jeroennijhof/vncpwd |
pwnginx | nginx 后门,提供 shell 访问、socks5 隧道、http 密码嗅探。 | https://github.com/t57root/pwnginx |
反弹shell木马
木马化sshd
持久化
修改开机启动脚本
在系统启动目录"/etc/init.d/"下的文件中添加运行木马命令。
将 sshd 等常用工具替换为攻击者修改的木马化版本
以 sshd 为例,木马化 sshd 存有后门密码,并且会记录所有 ssh 登录的用户名和密码。
利用用户态 rootkit 来隐藏木马痕迹
利用用户态预加载的动态链接库实现对系统调用的 hook,来隐藏木马进程名。
除上述两款攻击工具外,OldFox 至少还使用了 metasploit-framework5、subDomainsBrute6、LNScan7、reGeorg8、weakfilescan9、vncpwd10、vulhub11、pwnginx12 等大量开源攻击工具,可对目标服务器实施暴力破解、漏洞扫描、端口转发等定向攻击,手法老道,技术水平较高。 OldFox 在登录管理该服务器时多使用美国、柬埔寨、香港、台湾等地的境外代理IP,具备较强的反侦察意识。 OldFox 团伙控服务器超百台,涉及国内多家报社媒体企业以及部分金融、媒体和政府网站,危害程度较高。
微步在线主机威胁检测与响应平台 OneEDR 已支持 OldFox 木马后门的检测,在客户真实环境中发现安全威胁。
微步云沙箱支持检测“老狐狸”样本及sshd后门程序。
综合上述信息分析认为,OldFox 是一个专业黑客团伙,在入侵特定用户窃取敏感资料的同时,还长期参与赌博、色情、诈骗等非法活动,对企业和网民的危害性极高,需要引起相关部门的关注。该团伙画像如下:
目标国家 | 中国 |
基础设施 | 主要集中在美国、中国香港等地 |
活跃时间 | 2014年至今 |
目标行业 | 报社媒体、金融、政府等 |
攻击目的 | 盗取企业敏感信息,推广博彩网站、应用 |
常用工具 | Pirsm、sshd、metasploit-framework、subDomainsBrute、LNScan、reGeorg、weakfilescan、vncpwd、pwnginx |
攻击特点 | 漏洞利用,暴力破解,内网横移 |
SHA256
技术 | 详细信息 | ||
Initial Access | T1190 | 利用web应用方面的漏洞拿到目标的web服务器控制权限。 | |
Execution | T1059.004 | Command and Scripting Interpreter:Unix Shell | 利用反弹shell控制获得权限的服务器。 |
T1554 | Compromise Client Software Binary | ||
T1037 | Boot or Logon Initialization Scripts | 修改系统启动目录"/etc/init.d/"下的文件,添加后门木马运行命令,实现开机自启动。 | |
Defense Evasion | T1564 | Hide Artifacts | 通过rootkit 隐藏木马进程。 |
T1556 | Modify Authentication Process | 替换sshd等常用工具为木马化版本,收集ssh登录该服务器的账户、密码等信息。 | |
Discovery | T1082 | System Information | 在机器上收集信息 |
T1021.0 04 | Remote Services: SSH | 收集SSH登录凭证,可用于横向移动 | |
T1210 | Exploitation of Remote Services | 利用LNScan进行内网扫描 | |
Command and Control | T1090 | 使用reGeorg进行内网穿透 | |
Exfiltration | T1041 | Exfiltration Over C2 | 提取收集的数据 |
内容转载与引用
1. 内容转载,请微信后台留言:转载+转载平台
第一时间获取最新的威胁情报
如有侵权请联系:admin#unsafe.sh