首页
社区
课程
招聘
[原创]冒充火绒域名 黑客利用云服务器漏洞投放后门病毒
发表于: 2021-4-27 19:49 4261

[原创]冒充火绒域名 黑客利用云服务器漏洞投放后门病毒

2021-4-27 19:49
4261

近日,有友商向火绒反馈,检测到有后门病毒下载地址指向火绒相关域名,希望火绒协同排查。经过排查发现,黑客利用某云服务商的漏洞,实施域名前置的攻击方式(Domain Fronting),欺骗检测设备,投放后门病毒,与火绒服务器并无关系。

 

黑客可以通过域名前置攻击,隐藏真正的C&C服务器域名,从而欺骗安全检测设备、误导分析人员的溯源分析。除所述后门病毒外,我们监测到近期还有很多此类具备域名前置的病毒样本在传播。

 

 

值得警惕的是,黑客选取用来冒名顶替的域名都是有较高信任度的域名,以此获取信任躲避审查。除了火绒以外,所有在该云平台上使用CDN服务的厂商都有可能会受到此类攻击的影响。

 

实际上,为了避免此类攻击,基于Google、亚马逊等云服务提供商早已在2018年和2020年禁用域名前置。目前,我们已经将该情况反馈至相关漏洞平台,并同步给所述云厂商,该厂商也已确认此事,表示将于近日修复该逻辑漏洞。

 

1、详细攻击方式分析

 

根据火绒工程师排查分析,病毒通过域名前置技术,最终访问真实的C&C服务器的主机名为down1.huorong.cn,该主机名对应的CNAME响应指向病毒要连接到的源站地址为(121.199.1.32)。

 

而该主机名在早期已被黑客抢注,其所指向的C&C服务器源站地址
(121.199.1.32)与火绒无关。除此之外,我们还发现了更多此类曾被C&C服务器所使用的主机名,此类主机名与火绒均无任何关联。相关主机名及CNAME,如下图所示:

 


曾被C&C服务器所使用的主机名

 

上述CNAME与源站地址对应关系,如下图所示:

 


上述CNAME与源站地址对应关系

 

病毒与C&C服务器通讯流程,如下图所示:

 


病毒与C&C服务器通讯流程

 

病毒与C&C服务器通讯数据包内容示意图,如下图所示:

 


病毒与C&C服务器通讯数据包内容示意图

2、本次出现病毒代码分析

 

前文中所述病毒样本为使用域名前置技术的Cobalt Strike后门病毒,该病毒在请求远程恶意代码和获取后门指令时均使用了域名前置技术。病毒请求远程恶意代码时所使用的域名前置逻辑,如下图所示:

 


病毒请求远程恶意代码时所使用的域名前置逻辑

 

远程恶意代码下载地址为:hxxps://down1.huorong.cn/2IF119(该下载地址只在云服务商的CDN集群内部有效),该数据为混淆后的Cobalt Strike后门shellcode代码。调用shellcode相关恶意代码逻辑,如下图所示:

 


调用shellcode相关恶意代码逻辑

 

shellcode入口与原始代码解密相关代码,如下图所示:

 


shellcode入口与原始代码解密相关代码

 

解密后的shellcode主要用于解密后门病毒的原始代码,相关代码逻辑,如下图所示:

解密后门病毒的原始代码

 

原始PE镜像在映射过程中会跳过PE头数据,所以在内存中执行时不会出现完整的映射后PE镜像。原始PE为后门病毒,部分后门指令处理逻辑代码,如下图所示:

 


部分后门指令处理逻辑代码

 

3、同源样本分析

 

除此之外,还有更多此类病毒样本利用此类方式下发远程恶意代码。相关病毒行为,如下图所示:

 


相关样本恶意行为

 

经分析,我们发现此类样本与报告中所述样本存在同源性,且shellcode下发流程与shellcode混淆形式也完全相同。与报告中提到的shellcode下发方式相同,都是直接将shellcode以二进制形式下发到受害人终端,且数据没有经过任何加密。两者的shellcode入口代码也存在一定的相似性,代码对比情况如下图所示:

 


shellcode对比图

 

4、附录

 

病毒样本hash

 


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 7465
活跃值: (4196)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
现在的病毒这么6的吗
2021-4-27 21:40
0
雪    币: 15028
活跃值: (6233)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3

冒充火绒域名,只能影响到使用火绒客户端程序的用户吧?
火绒把所有责任都推给了某云服务商,其实作为火绒客户端本身也能做到完全防范的,因为你用的是https协议,说明火绒没有做双向证书认证,如果做了就不可能发生了。作为专业搞安全的,似乎有损形象?

最后于 2021-4-28 08:43 被tDasm编辑 ,原因:
2021-4-28 08:42
0
雪    币: 1022
活跃值: (292)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
HVV故事真多,啥鸟都有
2021-4-28 09:58
0
雪    币: 2107
活跃值: (1429)
能力值: ( LV8,RANK:126 )
在线值:
发帖
回帖
粉丝
5
tDasm 冒充火绒域名,只能影响到使用火绒客户端程序的用户吧?火绒把所有责任都推给了某云服务商,其实作为火绒客户端本身也能做到完全防范的,因为你用的是https协议,说明火绒没有做双向证书认证,如果做了就不可能 ...
你先去了解了解“cobaltstrike域前置”再说
2021-4-28 09:59
0
雪    币: 15028
活跃值: (6233)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
binlmmhc 你先去了解了解“cobaltstrike域前置”再说
你先去了解https双向认证再说
2021-4-28 10:25
0
雪    币: 2107
活跃值: (1429)
能力值: ( LV8,RANK:126 )
在线值:
发帖
回帖
粉丝
7
tDasm 你先去了解https双向认证再说
https双向认证和这个有什么关系,这个恶意域名是在CDN那里的
2021-4-29 08:58
0
雪    币: 15028
活跃值: (6233)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
binlmmhc https双向认证和这个有什么关系,这个恶意域名是在CDN那里的
不懂还在这掺和?
所以要你去学习再来。
2021-4-29 10:03
0
雪    币: 2107
活跃值: (1429)
能力值: ( LV8,RANK:126 )
在线值:
发帖
回帖
粉丝
9
tDasm 不懂还在这掺和? 所以要你去学习再来。
不懂我给你科普:
1、首先为什么伪造火绒域名,因为火绒作为安全厂商域名置信度高,客户看到相关域名也不会引起很大怀疑,该技术在CobaltStrike的域前置技术里已经非常普遍了(伪造各种域名的都有,百度、微软、google)
2、这些伪造的域名在外界并没有任何用处,只能用于CDN厂商内部,所以这些域名和火绒毛关系都没有(取决于攻击者想法)。
3、不了解域前置机制,建议去看看这个链接https://www.anquanke.com/post/id/195011

接下来说说你说的https双向认证:
原理比https单项认证多了一个服务端验证客户端的步骤,在这个事件中要做到这一步得保证服务端是被火绒控制的前提下(但这里域名和服务端都不是火绒能控制的,我就想问问你的https双向认证能用在哪)。

我学习了,来你说说
2021-4-29 14:59
0
雪    币: 15028
活跃值: (6233)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
binlmmhc 不懂我给你科普: 1、首先为什么伪造火绒域名,因为火绒作为安全厂商域名置信度高,客户看到相关域名也不会引起很大怀疑,该技术在CobaltStrike的域前置技术里已经非常普遍了(伪造各种域名的都有, ...

好为人师?
冒充火绒域名,小学生都知道原理,还要你来科普?
https双向认证,你自己不会去学习?纠正一下,不是火绒客户端,应该是该cdn的客户端如果启用https双向认证,也能修补漏洞。

最后于 2021-4-29 16:51 被tDasm编辑 ,原因:
2021-4-29 16:15
0
游客
登录 | 注册 方可回帖
返回
//