亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何進行Sophos防火墻0day漏洞分析

發布時間:2021-12-20 11:47:15 來源:億速云 閱讀:338 作者:柒染 欄目:網絡安全

這期內容當中小編將會給大家帶來有關如何進行Sophos防火墻0day漏洞分析,文章內容豐富且以專業的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。

攻擊者使用了未知的SQL注入漏洞針對Sophos防火墻發起攻擊,該漏洞可通過防火墻遠程代碼執行。攻擊中使用了一系列Linux Shell腳本,下載了為防火墻操作系統編譯的惡意軟件。該漏洞分析針對的是Sophos產品,旨在從防火墻竊取敏感信息。

漏洞分析

攻擊者發現并利用了零日SQL注入遠程代碼執行漏洞,利用此漏洞攻擊者能夠在數據庫表中插入單行命令。

如何進行Sophos防火墻0day漏洞分析

注入命令觸發受影響設備漏洞,從惡意域sophosfirewallupdate.com下載名為Install.sh的Linux Shell腳本。該命令還將此Shell腳本寫入/tmp目錄,使用chmod指定為可執行文件并執行。該腳本(以x.sh形式寫入設備)運行了一系列SQL命令,并將其他文件植入到虛擬文件系統中。

最初Install.sh腳本運行了許多Postgres SQL命令,修改數據庫中某些表值或將這些表歸零,其中的一個表記錄了管理IP地址,從而掩蓋攻擊。但是在某些設備上,shell腳本的活動導致攻擊者的SQL命令顯示在防火墻管理面板上。

如何進行Sophos防火墻0day漏洞分析該腳本還會把其他Shell腳本放入/tmp目錄,并修改防火墻操作系統的Shell腳本,在腳本末尾添加一組命令,確保它在每次防火墻啟動時都能運行。

如何進行Sophos防火墻0day漏洞分析技術分析

安裝程序腳本x.sh植入了兩個新的Shell腳本,并修改了操作系統的腳本。植入腳本之一為.lp.sh,其主要功能是連接到惡意的sophosfirewallupdate,下載在防火墻操作系統上運行的Linux ELF可執行文件。 腳本將下載的文件寫入/tmp中,名為b。

如何進行Sophos防火墻0day漏洞分析b程序在運行時會從設備的文件系統中刪除自身,它僅存在于內存中。 它會出現在進程列表中,進程名為cssconf.bin與正常運行在防火墻的cscconf.bin合法進程相差一個字符。 它列出了其父進程ID為1,這是合法cscconf.bin不會做的。

如何進行Sophos防火墻0day漏洞分析

當b處于內存中時,它每3到6個小時重復執行任務,第一次運行時會隨機選擇一個延遲間隔。首先,b檢查是否可與43.229.55.44建立連接。 如果無法與該IP地址建立連接,它會嘗試解析惡意域sophosproductupdate.com的IP地址。

如何進行Sophos防火墻0day漏洞分析

如果它解析了該域的IP,并且DNS結果沒有返回值127.0.0.1,它會下載另一個名為Sophos.dat的Linux ELF可執行文件。

Install.sh/x.sh腳本植入的第二個Shell腳本以.pg.sh的文件名寫入/tmp目錄。它的主要目的是下載ELF可執行文件,該文件在Web服務器上稱為bk,并以.post_MI名稱寫入文件系統。

第一階段的dropper Install.sh運行了許多Postgres SQL命令。這些命令修改了特定的服務值,每當執行該服務時都會執行.post_MI,在每次重新啟動時都會啟動惡意軟件。該可執行文件的功能有限,它檢查是否已將名為.a.PGSQL的文件寫入/tmp目錄,如果找不到,則會下載ragnarokfromasgard.com上托管的patch.sh腳本。在對攻擊進行分析時,該服務器沒有響應。

如何進行Sophos防火墻0day漏洞分析

第三個腳本用來修改防火墻內部操作系統,名為generate_curl_ca_bundle.sh。在修改原始腳本之前,Install.sh/x.sh腳本對原始文件備份(在文件名.generate_curl_ca_bundle.sh之前加了點)。該代碼會植入了另一個shell腳本/tmp/I。

腳本I具有兩個主要功能:首先它新建/tmp/.a.PGSQL文件。然后從sophosfirewallupdate域中檢索了一個名為lc的腳本文件,并將其以.n.sh寫入/tmp目錄并執行。該腳本復制了與.lp.sh腳本,并嘗試從惡意的sophosfirewallupdate網站下載并執行b ELF可執行文件。

數據泄露

惡意軟件下載并執行在遠程服務器上名為Sophos.dat的文件,并以2own保存到文件系統。

如何進行Sophos防火墻0day漏洞分析

該惡意軟件的主要任務是數據盜竊,它會檢索防火墻中存儲的各種數據庫表內容并運行操作系統命令。 每個步驟中惡意軟件都會收集信息,然后將其臨時存儲在防火墻的Info.xg文件中。

首先會嘗試搜索防火墻外部IP地址,先通過網站ifconfig.me來查詢,如果該網站無法訪問,它會嘗試通過checkip.dyndns.org查詢。接下來查詢防火墻數據存儲區域,檢索防火墻及其用戶的信息。下圖顯示了惡意軟件入侵能力。 

如何進行Sophos防火墻0day漏洞分析

該惡意軟件搜集防火墻信息包括:

1、防火墻的許可證和序列號

2、設備上存儲的用戶郵件列表,管理員帳戶電子郵件

3、防火墻用戶名稱,用戶名,密碼以及管理員帳戶密碼。密碼不是以純文本格式存儲。

4、將防火墻用于SSL VPN的用戶ID和使用“clientless” VPN連接的帳戶列表。

該惡意軟件還查詢了防火墻的內部數據庫,檢索防火墻用戶的IP地址分配權限列表,以及設備本身的信息:操作系統版本,CPU的類型以及內存,自上次重啟以來已運行了多長時間,ifconfig和ARP表。

如何進行Sophos防火墻0day漏洞分析惡意軟件將所有信息寫入Info.xg,使用tar壓縮工具對其進行壓縮,然后使用OpenSSL加密文件。 攻擊者使用Triple-DES算法對文件進行加密,使用“GUCCI”一詞作為密碼,上傳到IP為38.27.99.69的服務器上,然后刪除在收集信息時臨時創建的文件。

如何進行Sophos防火墻0day漏洞分析IOCs

如何進行Sophos防火墻0day漏洞分析Network indicators

URLs

hxxps://sophosfirewallupdate.com/sp/Install.sh

hxxp://sophosfirewallupdate.com/sh_guard/lc

hxxps://sophosfirewallupdate.com/bk

hxxps://sophosfirewallupdate.com/sp/lp

hxxps://ragnarokfromasgard.com/sp/patch.sh

hxxps://sophosfirewallupdate.com/sp/sophos.dat

hxxps://sophosfirewallupdate.com/in_exit

hxxps://sophosfirewallupdate.com/sp/lpin

hxxp://sophosfirewallupdate.com/bkin

hxxp://filedownloaderservers.com/bkin

hxxps://sophosfirewallupdate.com/sp/p.sh

hxxps://sophosfirewallupdate.com/sp/ae.sh

Domains

sophosfirewallupdate.com

filedownloaderservers.com

ragnarokfromasgard.com

sophosenterprisecenter.com

sophoswarehouse.com

sophosproductupdate.com

sophostraining.org

Additional suspicious domains

filedownloaderserverx.com

filedownloaderserver.com

updatefileservercross.com

IPs

43.229.55.44

38.27.99.69

Filesystem paths

/tmp/x.sh

/var/newdb/global/.post_MI

/scripts/vpn/ipsec/generate_curl_ca_bundle.sh (modified)

/scripts/vpn/ipsec/.generate_curl_ca_bundle.sh (original)

/tmp/I

/tmp/.a.PGSQL

/tmp/.n.sh

/tmp/.pg.sh

/tmp/.lp.sh

/tmp/b

/tmp/2own

/tmp/Info.xg

/tmp/%s_.xg.rel

/tmp/%s_.xg.salt

/tmp/ip (result of http://checkip.dyndns.org/ip_dyn)

/tmp/ip_dyn (result of https://ifconfig.me/ip)

上述就是小編為大家分享的如何進行Sophos防火墻0day漏洞分析了,如果剛好有類似的疑惑,不妨參照上述分析進行理解。如果想知道更多相關知識,歡迎關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

甘泉县| 肇庆市| 屏东市| 定结县| 涟水县| 静乐县| 清苑县| 金川县| 仙居县| 玉树县| 长葛市| 台中市| 惠东县| 城步| 会昌县| 车致| 靖江市| 三穗县| 藁城市| 海宁市| 临邑县| 桂东县| 湘阴县| 五华县| 南宁市| 光山县| 兖州市| 永顺县| 奉新县| 通河县| 鹿泉市| 台中市| 益阳市| 扬州市| 巧家县| 玉门市| 柳州市| 饶河县| 麦盖提县| 兴文县| 泰顺县|