埋伏四年,利用PRISM后门的攻击者-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 埋伏四年,利用PRISM后门的攻击者

埋伏四年,利用PRISM后门的攻击者

小墨安全管家 2021-09-24 14:24 CC防护 89 ℃
DDoS防御

潜伏四年,利用PRISM后门的攻击者

strings: 

b6844ca4d1d7c07ed349f839c861c940085f1a30bbc3fc4aad0b496e8d492ce0 

(6) PRISM v12

深入分析了使用这些恶意软件的攻击活动,在长达三年半的时刻内这些攻击者仍然保持活跃。最早的攻击行动中的样本出如今 2017 年 11 月 8 日。

+156.236.110[.]79 

Waterdrop v7 引入了内核模块的使用,假如进程具有 root 权限,则使用 insmod 安装。安全分析人员临时无法确定此 Payload 的用途。

baf2fa00711120fa43df80b8a043ecc0ad26edd2c5d966007fcd3ffeb2820531  git (5) 

(4) PRISM v7

+192.168.3[.]173 

+118.107.180[.]8 

cc3752cc2cdd595bfed492a2f108932c5ac28110f5f0d30de8681bd10316b824  git (4) 

由于攻击者使用公共 GIT 存储库来托管其恶意软件和基础设施信息,能够查看历史数据观看其演变。

BE 01 00 00 00 

condition: 

48 BB [8] 

$s2 = "Flush Iptables:\t" 

author = "AlienLabs" 

5 of ($s*) and 

执行后会尝试加锁 /var/lock/sshd.lock来当作互斥量。

关于那个版本的恶意软件,初始的 C&C URI 请求格式是:

/tellmev2.x?v=2.2&act=touch 

某个子进程跳转到 Shellcode 异或解密,硬编码的 8 字节密钥:

+127.0.0[.1] 

3366676681a31feadecfe7d0f5db61c4d6085f5081b2d464b6fe9b63750d4cd8 

服务器还需要使用密码举行回复,以便成功建立反向 Shell。恶意软件会计算回复缓冲区的 MD5 哈希值,并将其与硬编码值 ef4a85e8fcba5b1dc95adaa256c5b482举行比较。

933b4c6c48f82bbb62c9b1a430c7e758b88c03800c866b36c2da2a5f72c93657  MP.out 

第一具版本的样本没有对恶意样本举行任何混淆、加壳或者加密。

d3fa1155810be25f9b9a889ee64f845fc6645b2b839451b59cfa77bbc478531f 

(4 of ($s*) or all of ($c*)) 

3 版本的 PRISM 与 2.2 版本差不多相同,额外多了 BOT ID 被保存到 /etc/.xid。

$ git log -p README.md |grep "^+"|grep -v "+++ 

某个子进程会打开一具硬编码 C&C 服务器的反向 Shell 会话,配置中最多有三个 C&C 地址(z0gg.me、x63.in 和 x47.in)并使用 ROT13 加密。

ass32:为 x86 架构编译的名为hide my ass的开源安全工具

dd5f933598184426a626d261922e1e82cb009910c25447b174d46e9cac3d391a 

all of ($c*) and 

r.waterdropx.com 

+^192.168.3[.]150 

zzz.457467.com 

E8 [4] 8B 45 ?? BE 00 00 00 00 89 C7 E8 [4] 8B 45 ?? BE 01 00 00 00 

waterdropx.com 

(5) PRISM v9

0af3e44967fb1b8e0f5026deb39852d4a13b117ee19986df5239f897914d9212 

E2 F4 

$s5 = "[+]HostUrl->\t%s\n" 

潜伏四年,利用PRISM后门的攻击者

潜伏四年,利用PRISM后门的攻击者

+154.48.227[.]27 

3a4998bb2ea9f4cd2810643cb2c1dae290e4fe78e1d58582b6f49b232a58575a 

潜伏四年,利用PRISM后门的攻击者

$s7 = "/var/run/sshd.lock" 

+45.199.88[.]86 

89 C7 

攻击者在 2017 年 8 月 18 日注册 waterdropx.com 域名。截至 2021 年 8 月 10 日,该域名仍在使用。

除了 PRISM 的差不多功能外,WaterDrop 还额外引入了异或加密与定期轮询 C&C 服务器的功能。

潜伏四年,利用PRISM后门的攻击者

+192.168.3[.]150^ 

rule PRISM { 

b8cceb317a5d2febcd60318c1652af61cd3d4062902820e79a9fb9a4717f7ba2 

+172.247.127[.]136 

潜伏四年,利用PRISM后门的攻击者

(2)针对脏牛(CVE-2016-5195)漏洞的 Bash 足本,名为:111

2.2 版本的 PRISM 开始使用异或加密来处理敏感数据,例如使用的 shell 命令等。单字节密钥硬编码为 0x1F,该密钥用于发觉同一攻击者的所有样本。

IOC

05fc4dcce9e9e1e627ebf051a190bd1f73bc83d876c78c6b3d86fc97b0dfd8e8 

初始请求格式为:

89 C7 

1eb6973f70075ede421bed604d7642fc844c5a47c53d0fb7a9ddb21b0bb2519a 

WaterDrop 使用 agent-waterdropx作为 User-Agent 举行 HTTP 协议的 C&C 通信,C&C 使用 waterdropx.com 域名的子域名。

sw.rammus.me 

d1d65b9d3711871d8f7ad1541cfbb7fa35ecc1df330699b75dd3c1403c754278  git53 

HostUrl 用于猎取 C&C 主机

+154.48.227[.]27 

wa1a1.com 

E8 [4] 

#shellcode == 2 

aaeee0e6f7623f0087144e6e318441352fef4000e7a8dd84b74907742c244ff5 

strings: 

6f983303bb82d8cc9e1ebf8c6c1eb7c17877debc66cd1ac7c9f78b24148a4e46  wm (1) 


DDoS防御

当前位置:主页 > CC防护 > 埋伏四年,利用PRISM后门的攻击者

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119