首功！這只“老狐貍”又被我們抓住了

近日，微步在線工作人員在對某用戶首次部署上線的OneEDR進行遠程巡檢時，發現告警。經過對系統中告警主機與風險主機研判分析，確認是老牌APT組織OldFox（“老狐貍”APT組織，微步在線發現并命名）發起的又一次網絡攻擊。

 在OneEDR控制臺中，對用戶數據中心內的5臺CentOS主機發出了告警，其中：

• 2臺主機存在OldFox組織的后門程序kworker；
• 1臺主機存在名為“m.php”的Webshell程序；
• 2臺存在惡意的pam_unix.so后門程序，其中一臺還存在已知后門能執行系統命令的so模塊mod_auth_pam.so。

在OneEDR控制臺的告警信息，5臺主機存在多種惡意攻擊軟件/程序

OneEDR控制臺中定位到的惡意軟件/程序信息

 經微步在線工作人員逆向分析：

• 位于“/usr/sbin”中的kworker程序會反彈外聯到攻擊者的poolntp.com域名；
• mod_auth_pam.so與httpd創建時間相同，是公開后門modrootme；
• pam_unix.so后門，會記錄用戶登錄的sshd賬號密碼；
• 在某主機上的“/tmp/”目錄下有可疑進程執行，且會刪除自身；
• 名為“m.php”的惡意Webshell程序在2021年11月通過利用zabbix-web漏洞入侵而來。
• 

OneEDR控制臺中顯示“m.php”惡意程序的詳細信息，從路徑來看，其通過利用zabbix-web漏洞入侵

Webshell惡意程序被喻為是“Shell中的幽靈”，因為其入侵方式非常的靈活，并且隱蔽，同時在入侵之后，利用文件偽裝、代碼混淆等方式潛伏。傳統Webshell靜態檢測通過規則進行匹配，檢出率大約在90%左右，而APT組織所使用的Webshell惡意程序/代碼通常具備更高的隱蔽性和混淆性，依賴規則的Webshell靜態檢測通常是很難發現的。

而OneEDR之所以能夠成功檢出APT組織的惡意Webshell程序/代碼，首功當屬Webshell檢測引擎——這是OneEDR集成的12款自研檢測引擎之一，也是首先應用了機器學習成果的引擎之一。利用微步在線過去數年間積累的百萬級惡意樣本進行機器學習訓練后獲得的成果，將其應用到Webshell引擎中，能夠精準識別各種Webshell變種，讓“幽靈”無所遁形。（關于OneEDR中的Webshell引擎，可詳見《Shell中的幽靈？OneEDR用機器學習讓Webshell無處遁形》）

OldFox組織所使用的的Webshell代碼截圖，使用了代碼混淆等技術

經過詳細排查，針對這一用戶，微步在線提出了后續建議：

• 根據微步在線給出的行動建議方案進行木馬處置；
• 檢查其它曾經連接過惡意域名的服務器；
• 強制使用復雜密碼，及時修改弱密碼；
• 全量加固內網終端和服務器的安全防護和漏洞補丁，對于來源不明的軟件或者文檔，可上傳到OneEDR服務端進行多引擎查殺和動態分析，避免漏報；
• 加強主機安全整體安全威脅態勢監測，及時掌握威脅動態，并快速響應威脅事件。

關于OldFox團伙

OldFox 團伙，幕后為東南亞地區的博彩產業鏈從業人員，該團伙通常攻擊手機行業相關廠商、以銀行為代表的金融行業，以及國內媒體機構，以竊取企業內部敏感信息為主要目的，威脅程度較高。

OldFox團伙早在2018年前就開始活躍，在2018年定向攻擊國內多家手機制造商（包括某國內前三手機制造商），以及多個應用下載平臺。

在2019年，發動過多起針對國內媒體機構的定向攻擊。