FYSBIS分析报告:SOFACY的Linux后门

来源:互联网
更新时间:2016/12/9 11:10:33
责任编辑:王亮
字体:

0x00 简介

Sofacy组织,也被称为APT28或者Sednit,是一个相当知名的网络攻击间谍组织,据信跟俄罗斯有关。他们的攻击目标遍布全世界,主要针对政府、防御组织和多个东欧国家政府。已经有很多关于他们活动的报告,以至于已经有维基百科的词条。

从这些报告里,我们发现该组织有丰富的工具和策略,包括利用0day漏洞攻击通用应用程序,例如JAVA或者Microsoft Office;大量使用鱼叉式网络钓鱼;利用合法网站进行水坑式攻击并且目标包括各类操作系统--Windows、OSX、Linux、iOS。

Linux下的恶意软件Fysbis是Sofacy很喜欢使用的一个工具,虽然这个工具不是特别的精巧复杂。但由于Linux安全总体上是一个不是很成熟的领域,特别是恶意软件方面。所以,这个工具帮助了Sofacy组织进行成功攻击是完全有可能的。

0x01 恶意软件评估

Fysbis是一个模块化的Linux木马/后门,将插件和控制模块作为不同的类来实现。一些分析把这个恶意软件归类到Sednit组织命名名称里。这个恶意软件包括32位和64位的ELF文件。此外,Fysbis在有或者没有root权限的情况下都可以把自己植入目标系统。当需要选择安装的账户时,这增加了攻击的选择。

对3个样本的总结信息如下:

Table 1: Sample 1 – Late 2014 Sofacy 64-bit Fysbis

Table 2: Sample 2 – Early 2015 Sofacy 32-bit Fysbis

Table 3: Sample 3 – Late 2015 Sofacy 64-bit Fysbis

总的来说,这些样本不是很复杂但是却很有效。这些样本表明了一个事实:APT攻击者并不需要高级的手段来攻击目标。相反,攻击者把高级的恶意软件和0day利用保留在手里而只使用刚好能达到目的的资源进行攻击。因此分析人员有理由用一些捷径或者trick来缩短评估威胁的时间。也就是说,分析人员应该总是通过一些方法来更有效的工作而不是一味蛮干。

0x02 利用字符串充分获取信息

字符串本身就可以体现很多信息,提高了诸如静态分析分类的效率(例如使用Yara)。表1和表2Fysbis样本安装和目标平台信息就是很好的例子。

点击图片看大图中国学网 www.xue163.com

498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="FYSBIS分析报告:SOFACY的Linux后门" width="504" height="176" src="http://img.xue163.com/s2images51cto/wyfs02/M00/7B/CC/wKiom1bOcDygbhmYAAAgYMck5uI247.jpg" />

图1:从字符串中获得的Fysbis安装和目标平台信息

从这个例子中,我们可以发现文件的安装路径和通过匹配来确定具体的Linux版本。后面跟着的是一系列延长在目标上的存活时间的Linux shell命令。

另一个例子是跟样本功能相关的信息。

点击图片看大图中国学网 www.xue163.com

498)this.width=498;' onmousewheel = 'javascript:return big(this)' style="width: 366px; height: 436px" border="0" alt="FYSBIS分析报告:SOFACY的Linux后门" width="500" height="543" src="http://img.xue163.com/s4images51cto/wyfs02/M02/7B/CC/wKiom1bOcF_hPnR0AAHPYZgjF3o566.png" />

图2:从字符串中泄露的功能信息

图2 表明了交互状态和返回的信息,让分析人员对样本功能有个大概的印象。除了可以帮助静态分析,这也可以作为后面事件响应优先级和评估威胁的出发点。

0x03 符号信息可以缩短分析时间

有趣地是,最新的ELF 64位文件(表3的样本)在使用前没有strip,这导致在文件中会有额外的符号信息。对Windows PE比较熟悉的分析人员可以认为就是Debug版本和Release版本的区别。作为比较,如果我们分析下Fysbis strip过的样本跟 "RemoteShell" 相关的字符串,就只能发现下面的字符串:

www.xue163.com true http://www.xue163.com/network/5/59656.html report 3434 FYSBIS分析报告:SOFACY的Linux后门,0x00简介Sofacy组织,也被称为APT28或者Sednit,是一个相当知名的网络攻击间谍组织,据信跟俄罗斯有关。他们的攻击目标遍布全世界,主要针对政府、防御组织和多个东欧国家政府。已经有很多关于他们活动的报告,以至于已经有维基百科的词条。从这些...
最近关注
首页推荐
热门图片
相关文章:
最新添加资讯
24小时热门资讯
精彩资讯
精彩推荐
热点推荐
真视界
精彩图片
社区精粹
关于本站 | 广告服务 | 手机版 | 商务合作 | 免责申明 | 招聘信息 | 联系我们
Copyright © 2004-2016 Xue163.com All Rights Reserved. 中国学网 版权所有
京ICP备10044368号-1 京公网安备11010802011102号
荐闻 | 学网头条知识问答 | 装修 | 作业 | 荐闻 | 学网头条精彩微信 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 猎奇 | 精彩看点 | 图库 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 精彩微信 | 猎奇 | 精彩看点 | 图库编程 方案 信息windows方案windows answer文档机构教育文档问答中心IT编程数码信息解决方案信息中心IT科技