澳门新葡萄京官网注册 10

Supermicro再爆安全漏洞,“虚拟USB”可直接接管企业服务器 – 漏洞,USB – IT之家

俄罗斯独立安全研究人员邓尼斯 · 辛尼古伯科发现,一组被感染的 Linux
服务器已经沦为僵尸网络,向“不知情”的网民发布恶意件。

作为针对金融服务和电子商务用户的网络犯罪工具的持续研究的一部分,IBM
X-Force
分析了有组织恶意软件团伙的策略,技术和程序,暴露他们的内部工作,帮助将可靠的威胁情报传播到安全社区。

澳门新葡萄京官网注册,对于企业而言,网络安全可能是一个棘手的问题,但值得欣慰的是,至少有一部分人知道不能随意在电脑上插来历不明的USB。事实证明,黑客可以利用某种远程管理设备的缺陷,植入他们的“虚拟”拇指驱动器。同种类型的攻击几乎可以将所有的USB设备转换成特洛伊木马。

据国外媒体报道称,辛尼古伯科表示,每台服务器都运行着一个合法网站。

在最近对IcedID Trojan攻击的分析中,我们的团队调查了 IcedID
运营商如何针对美国的电子商务供应商,这是该组织的典型攻击。威胁策略是两步注入攻击,旨在窃取受害者的访问凭据和支付卡数据。鉴于攻击是单独运行的,IcedID
背后的人要么正在研究不同的货币化方案,要么将僵尸网络租给其他犯罪分子,将其转变为网络犯罪即服务,类似于Gozi
Trojan ’ s的商业模式。

但本周二,在硅谷举办的Open Source Firmware
Conference大会上公布了新的研究发现。网络安全公司Eclypsium的研究人员详细介绍了Supermicro基板管理控制器存在的漏洞。这些安装在服务器主板上的特殊处理器,主要功能是为远程系统管理员提供硬件级管理能力。这将大大便利管理员执行一系列操作,例如将服务器上的旧软件迁移至CD服务器或利用外部硬盘驱动器的映像升级操作系统。而BMC却无需任何物理设备接入服务器本身,就完全可以实现这一点。在这个过程中,服务器只会默认设备是直接连接的。

但是,除了运行 Apache 发布合法内容外,它们还运行一款名为 nginx 的 Web
服务器软件,发布恶意件,“让事情变得更复杂的是,这一由 Web
服务器组成的僵尸网络与一个由家用计算机组成的僵尸网络连接在一起”。

一、起源

然而研究人员发现,Supermicro
X9、X10和X11平台上搭载的BMC存在缺陷,很可能导致这种合法的功能变成网络攻击的武器。攻击者可能会将数据泄露至拇指驱动器或外部硬盘驱动器,并将服务器的操作系统替换成携带木马的驱动器,甚至可能直接使服务器瘫痪。当攻击者获得企业网络访问权限,并侧向渗透至BMC获得更深层的控制后,他们就可以完全利用这一漏洞。但是,如果企业允许公开网络的BMC访问,黑客也可以发起远程攻击,比如,研究人员就在最近的检测中发现了超过4.7万个泄露的BMC。

这一发现突显了黑客控制肉鸡能力的提高。赛门铁克也发表报告称,Google
Groups 被用作最近发现的一种特洛伊木马的主控制渠道;4
周前,研究人员发现数个 Twitter 账号被用来控制特洛伊木马。

IBM Security 于 2017 年 9 月发现 IcedID
并为其命名。该现代银行特洛伊木马程序具有与 TrickBot 和 Gozi
等恶意软件类似的模块。它通常针对银行、支付卡提供商、移动服务提供商、payroll、网络邮件和电子商务网站,其攻击目标主要位于美国和加拿大。从他们的配置文件中,显而易见的是,IcedID
的运营商寻找比消费者账户中常见的更高价值的商业账户。

Eclypsium的首席工程师Rick
Altherr表示:“许多安全模型都认为物理攻击是一项重大挑战。但是我们在研究中发现,即使不利用物理攻击也能起到相同的效果,而且可能性非常多,而BMC又是非常常见的设备。”

辛尼古伯科发现,受到感染的 Web 服务器用 80 端口处理正常流量,用 8080
端口发布恶意流量。该僵尸网络只有约 100
个节点,规模较小,使得研究人员很难搞清楚黑客的真正意图。

IcedID 能够启动不同的攻击类型,包括通过其侦听的端口对所有受害者流量进行
web 注入、重定向和代理重定向。

如果管理员想将USB设备虚拟连接至服务器,必须使用笔记本电脑或其他设备的远程管理“虚拟媒体”Web应用程序来调用BMC,并利用其硬件获取访问控制权。然而,Eclypsium研究人员发现,运行这些虚拟媒体协议系统所搭载的身份验证保护易受多种类型攻击。

恶意软件的分发和感染策略表明其运营商并不是网络犯罪领域的新手 ; 自 2017
年以来它通过 Emotet Trojan 感染用户,并在 2018 年中期通过 TrickBot
推出测试活动。在过去两年中,Emotet
一直是迎合东欧精英网络犯罪团体最出名的恶意服务之一。其可疑客户包括经营QakBot,Dridex,IcedID
和TrickBot的组织。

系统可能出现漏洞,从而允许非法管理员登录,例如,系统有时允许随意输入账号和密码的用户登录并获得访问权限。Altherr表示,他们发现这个漏洞在测试中异常有效,但即使开放窗口突然关闭,攻击者仍然可以利用几乎不更改的默认Supermicro凭证来获取访问。对于已经有明确目标的BMC攻击者,通过拦截Web应用程序和BMC之间的流量也可以达到这一目的,主要原因是连接的加密保护相对较弱。

二、使用 ATSEngine 攻击电子商务用户

研究人员于6月份向Supermicro披露了这些漏洞,该公司也已经为所有存在漏洞的BMC发布了固件更新。然而,Eclypsium首席执行官Yuriy
Bulygin指出,BMC与许多企业设备一样,在实践中通常很难获取固件升级。因此,修补程序可能需要一段时间才会对有风险的服务器起作用。

虽然目前的 IcedID 配置同时具备 web
注入和重定向攻击,但让我们关注其两阶段 web
注入方案。此策略与类似的特洛伊木马不同,大多数特洛伊木马从配置或动态部署整个注入。

Supermicro发言人在一份声明中表示:“我们要感谢检测出BMC虚拟媒体漏洞的研究人员。目前为止,在私用网络上运行BMC是业内的最佳实践,这能减少已检测到的泄露。新版本的BMC软件可以解决这些漏洞。”

为了部署注入并收集来自受害者输入的数据,一些 IcedID 攻击者使用Yummba ’ s
ATSEngine的商业注入面板。在此,ATS 代表自动交易系统。ATSEngine
是一个基于 Web 的控制面板,可从攻击 /
注入服务器运行,而不是从恶意软件的命令和控制服务器运行。它允许攻击者编排注入过程,更灵活更快的更新攻击服务器上的注入,解析窃取数据以及管理欺诈性交易的操作。商业交易面板非常普遍,并且从
2007 年的 Zeus Trojan 时开始流行以来一直被广泛使用。

在无需实际操作的基础上,这种攻击具有欺骗性地引导用户将恶意拇指驱动器插入网络计算机,从而达到目的。同时,由于攻击者可以连接任何USB设备,他们可以利用相同的漏洞将键盘“连接”到服务器,并直接发出指令,如关闭服务器或指示服务器从外部磁盘映像启动。

三、针对特定电子商务供应商

嵌入式设备安全公司Red Balloon的首席科学家Jatin
Kataria表示:“近期的安全披露越来越表明,黑客通常很容易利用你能进入的内部网络上的BMC。”他补充说,虽然大型企业网络都配备广泛的入侵检测,但穿上BMC的合法外衣后,或许可以欺骗这些防御。“直到最近的披露事件,我才认为BMC甚至可能不在企业威胁模型的行列中。”他说。

在我们检测的攻击中,意识到一些 IcedID
运营商正在使用恶意软件来定位电子商务领域中非常具体的品牌。我们的研究人员指出,这种攻击可能是从主僵尸网络中划分出来的,这些僵尸网络由专门从事欺诈性商品交易的犯罪分子运营。

在2018年10月的一次调查中,外媒称,世界各地许多Supermicro主板都被某物理后门程序所破坏。Supermicro和其他使用该公司服务器的技术巨头均否认了该调查的准确性。

让我们看一下这些注入的示例代码。此特定示例取自旨在窃取凭据并接管浏览美国流行电子商务网站的用户帐户的攻击。

由于BMC在远程服务中广泛采用,为网络管理员提供真正的服务,帮助管理员进行安全升级,Eclypsium研究人员希望提高人们对BMC普遍存在的潜在风险的意识。但与任何此类工具一样,攻击者可能会有意地利用这些相似的特性,达成他们非法的目的。

作为第一步,要从攻击服务器接收任何信息,受感染设备上的常驻恶意软件必须向僵尸网络的运营商验证自己的身份。它使用配置文件中的脚本执行此操作。如果僵尸程序已通过服务器验证,则会从攻击者的
ATSEngine 服务器发送恶意脚本,在本例中通过 URL home_link / gate.php
发送。

请注意,IcedID
通过加密保护其配置的指令。因此,僵尸程序需要一个私钥来验证攻击者的 Web
控制面板(例如,var pkey
=”Ab1cd23″)。这意味着受感染的设备不会与属于其他犯罪分子或安全研究人员的其他
C&C 服务器进行交互。

澳门新葡萄京官网注册 1

图 1:IcedID 特洛伊木马接收有关连接到攻击服务器的说明(来源:IBM
Trusteer)

接下来,我们评估了与攻击服务器通信时的 eval(function ( p, a, c, k, e, r
) )函数,并得到以下代码。编码是打包代码的常用策略,使其更紧凑。

澳门新葡萄京官网注册 2

图 2:设计用于设置浏览器接受外部脚本注入的 IcedID 代码(来源:IBM
Trusteer)

在特洛伊木马主动攻击期间,此函数将受感染用户的浏览器设置为接受从其运营商服务器获取外部脚本注入。

以下代码段显示了文档对象模型脚本元素的创建,其中包含 Text / javascript
类型和 ID jsess_script_loader。
注入的开发人员使用这种技术将远程脚本注入合法网页。它从攻击者的 C&C
中获取远程脚本,然后将其嵌入脚本标记中,在原始网页的头部或者在其正文中。

仔细看看使用的函数,我们可以看到它从受感染用户设备 ssid 的 home_link
加载脚本,以及当前日期。

澳门新葡萄京官网注册 3

图 3:用于将远程脚本注入目标网站的 IcedID 代码(来源:IBM Trusteer)

四、第 1 步和第 2 步:JavaScript 和 HTML

要执行 web 注入,外部脚本(恶意 JavaScript 代码段)负责将 HTML
代码注入受感染用户的浏览器。使用此策略,恶意软件不会从配置文件中部署整个注入,这实际上会将其暴露给可以成功解密配置的研究人员。相反,它使用初始注入作为触发器来实时从其攻击服务器获取注入的第二部分。这样,攻击可以保持更加隐蔽,攻击者可以更灵活的更新注入,而无需更新所有受感染设备上的配置文件。

在下面的示例中,名为 ccgrab 的 HTML
代码修改了受害者正在查看的页面,并显示社交工程内容以窃取支付卡数据。页面上的额外内容会提示受害者提供有关其身份的其他信息以安全登录。

澳门新葡萄京官网注册 4

图 4:IcedID 通过 web 注入欺骗受害者(来源:IBM Trusteer)

恶意软件会自动获取受害者的访问凭据,并且 web
注入会请求以下与受害者支付卡相关的数据元素:

· 信用卡号 ;

· CVV2;

· 受害者地址

一旦受害者输入这些详细信息,数据就发送给攻击者的 ATSEngine
服务器并解析成如下形式,允许犯罪分子通过控制面板查看和搜索数据。

澳门新葡萄京官网注册 5

图 5:发送给攻击者注入服务器的被破解的窃取数据(来源:IBM Trusteer)

五、管理数据窃取和存储

恶意软件运行的恶意脚本执行其他功能,从受害者的设备和他或她的行为中获取内容。内容获取功能还会检查用户输入的有效性,确保
C&C 不会随时间累积垃圾数据并管理攻击的变量。

澳门新葡萄京官网注册 6

图 6:恶意 IcedID 脚本管理数据获取(来源:IBM Trusteer)

验证用户的数据后,保存到 C&C:

图 7:将窃取数据保存到攻击服务器的日志(来源:IBM Trusteer)

六、注入攻击服务器的功能

攻击服务器使攻击者能够通过许多功能来命令受感染的 bot。让我们看一下解码
IcedID 恶意脚本后的函数列表:

澳门新葡萄京官网注册 7

攻击服务器使操作人员能够使用在控制面板上切换到选项卡的不同功能:

· Accounts 页面功能 – 显示受害者使用受感染用户的凭据访问的帐户页面。

· 内容变量 – 包括报告生成、帐户页面控制、将 HTML
内容推送到受害者正在查看的页面,以及用于跟踪活动的注释模块。

· 私有函数以获得 HEX 和解码。

· 主页功能。

· 注释。

· 报告。

下面的图 8 显示了攻击者在使用 ATSEngine
控制面板时看到的给定受感染设备的信息布局:

澳门新葡萄京官网注册 8

图 8:攻击者控制面板视图,用于管理被盗数据(来源:IBM Trusteer)

七、数据管理和视图

ATSEngine
控制面板使攻击者能够使用时间戳查看活动。从受害者的设备获取以下信息并将其发送到攻击服务器:

· 来自此受感染设备的最后报告时间 ;

· 受害者的 IP 地址 ;

· 受害者 BotID;

· 受害者访问过的或正在访问的网站的登录凭据 ;

· 从 web
注入到目标页面的其他抓取数据,包括受害者的姓名、支付卡类型、卡号、CVV2
以及居住地 ;

· 攻击者针对特定受害者及其帐户插入的注释部分。

控制面板中的视图显示表中的基本数据,为攻击者提供受害者登录目标站点的凭据:

澳门新葡萄京官网注册 9

图 9:在控制面板视图中解析的被窃取帐户信息(来源:IBM Trusteer)

八、分段的 IcedID 僵尸网络

在分析了 IcedID
的注入和控制面板功能后,我们的研究人员认为,与其他特洛伊木马运营团伙一样,IcedID
可能会将其基础设施出租给其他专门从事各种欺诈行为的犯罪分子。

控制面板是在线欺诈操作中的一个常见元素,它揭示了 IcedID
运营商使用了自动化工具。该商业面板有助于促进 bot
控制,数据管理和欺诈活动的管理。本文选择的该组织在网络犯罪领域的主要工具食,称为
Yummba/ATSEngine。

欺诈场景因运营商而异,但 IcedID 的 TTP
保持不变,适用于特洛伊木马所有的攻击。因此,IcedID 的 web
注入可应用于任何网站,其重定向方案可适用于任意目标。

九、2019 年焦点

虽然一些特洛伊团伙选择将攻击范围扩大到更多国家,但这需要资金、资源来构建适应的攻击工具,与当地有组织犯罪团伙合作以及额外的洗钱活动。在
IcedID 的案例中,该团伙并未寻求扩展。自从首次出现以来,IcedID
一直专注于北美地区,主要针对该地区的银行和电子商务企业。

在 2018 年,IcedID
在全球金融特洛伊木马图表上排名第四,恶意活动贯穿全年。

澳门新葡萄京官网注册 10

图 10:2018 年十大金融特洛伊团伙(来源:IBM Trusteer)

在 2019 年,我们团队希望看到这种趋势继续下去。为了跟上像 IcedID
这样的威胁,请阅读X-Force团队的更多威胁研究,并加入X-Force
Exchange,在那里我们为安全专业人员发布 IoC 和其他有价值的情报。

发表评论

电子邮件地址不会被公开。 必填项已用*标注