“老狐貍”定向攻擊遭曝光，手法老道，相關行業亟需自查！ - 網安

1 概要

微步在線監測到一個長期針對報社媒體企業實施定向攻擊的 APT 團伙，由于該團伙成員手法老道且經驗豐富，我們將命名為“OldFox”（老狐貍），其主要特征包括：

OldFox 至少自2014年起開始活躍，近年來已成功入侵多家國內報社媒體的企業內網，大肆竊取企業內部敏感信息，并伺機投放非法鏈接。
OldFox 通常利用 Web 側漏洞、暴破等方式入侵目標企業的 Web 服務器，在部署自制后門木馬（基于開源工具 PRISM 后門）后，伺機在企業內網進行橫向移動，竊取用戶數據、內部文檔等敏感信息，危害程度極高。
OldFox 選擇的攻擊目標分布在報社媒體、手機廠商、政府、金融等行業，攻擊時多為手工操作，并大量使用自行編譯的開源攻擊工具，隱蔽性強。
OldFox 平均每三個月更換一次木馬回連服務器地址，相關IP均位于美國、中國香港等地，警惕性高，具備較強的反偵察意識。
OldFox 與賭博、色情、詐騙等非法活動關系密切。

微步在線通過對相關樣本、IP 和域名的溯源分析，提取多條相關 IOC ，可用于威脅情報檢測。微步在線主機威脅檢測與響應平臺 OneEDR 、本地威脅情報管理平臺 TIP 、微步云沙箱等均已支持對此次攻擊事件和團伙的檢測。

建議相關行業的客戶對該團伙攻擊活動高度重視，利用相關情報第一時間開展自查。

2 歷史攻擊事件

3 詳情

微步在線在某報社媒體企業的應急響應中取證到一款修改版的 Pirsm 后門木馬，該木馬在受害主機上會偽裝成 Linux 常見文件，利用系統自啟動項實現開機運行，攻擊者幾乎可以隨時登錄操作。

經過對某受控服務器的排查，事實表明攻擊者早在2017年就利用 Struts2 漏洞獲取了該服務器的控制權限，在植入后門程序后，還將 ssh 服務的 sshd 文件替換為木馬化版本，該木馬化 sshd 可記錄所有 ssh 登錄者的賬戶密碼至特定文件。在長達一年的控制期中，攻擊者以該服務器為跳板，利用竊密工具記錄的敏感信息攻陷了企業內網中的其他機器，竊取大量敏感信息，甚至將網絡博彩廣告植入該報社媒體的網站中進行推廣。

4 典型攻擊流程

該團伙攻擊流程如下圖所示：

OldFox 團伙一般會利用 Web 應用漏洞攻陷受害者 Web 服務器，部署后門木馬建立初始立足點。為擴大戰果，攻擊者會將常用工具例如 sshd 替換為木馬化版本收集 ssh 登錄賬號和密碼，并使用內網掃描工具進行內網掃描，伺機進行橫向移動。當攻擊者橫向移動到核心服務器例如數據庫服務器后，會通過竊取數據和植入推廣鏈接來獲取利益。

5 攻擊工具分析

反彈shell木馬

微步在線對 OldFox 使用的后門程序 X11 分析發現，該木馬運行時，首先會將自己的進程名稱修改為 [cgroup/0]，然后每隔35秒鐘嘗試向 C&C 服務器9996886.com 的30880端口進行連接，連接成功后會將受害主機 shell 反彈給攻擊者使用。

木馬化sshd

進一步排查發現，攻擊者還修改了受控主機的系統服務程序 sshd，惡意程序內含一個萬能密碼“gre*****”，可供攻擊者直接登錄，此外還會持續記錄所有登錄者的用戶名和密碼存放至“/var/log/”目錄下，核心代碼如下所示:

持久化

攻擊者為實現木馬的持久化，采用了多種技術手段：

修改開機啟動腳本

在系統啟動目錄"/etc/init.d/"下的文件中添加運行木馬命令。

將 sshd 等常用工具替換為攻擊者修改的木馬化版本

以 sshd 為例，木馬化 sshd 存有后門密碼，并且會記錄所有 ssh 登錄的用戶名和密碼。

利用用戶態 rootkit 來隱藏木馬痕跡

利用用戶態預加載的動態鏈接庫實現對系統調用的 hook，來隱藏木馬進程名。

6 溯源分析

在追蹤 OldFox 團伙的過程中，我們曾獲取了該組織一臺位于香港服務器的部分權限，通過對服務器文件和日志分析發現：

除上述兩款攻擊工具外，OldFox 至少還使用了 metasploit-framework5、subDomainsBrute6、LNScan7、reGeorg8、weakfilescan9、vncpwd10、vulhub11、pwnginx12 等大量開源攻擊工具，可對目標服務器實施暴力破解、漏洞掃描、端口轉發等定向攻擊，手法老道，技術水平較高。
OldFox 在登錄管理該服務器時多使用美國、柬埔寨、香港、臺灣等地的境外代理IP，具備較強的反偵察意識。
OldFox 團伙控服務器超百臺，涉及國內多家報社媒體企業以及部分金融、媒體和政府網站，危害程度較高。

微步在線主機威脅檢測與響應平臺 OneEDR 已支持 OldFox 木馬后門的檢測，在客戶真實環境中發現安全威脅。