這期內(nèi)容當(dāng)中小編將會給大家?guī)碛嘘P(guān)如何進(jìn)行Sophos防火墻0day漏洞分析，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

創(chuàng)新互聯(lián)成立于2013年，先為涼州等服務(wù)建站，涼州等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為涼州企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

攻擊者使用了未知的SQL注入漏洞針對Sophos防火墻發(fā)起攻擊，該漏洞可通過防火墻遠(yuǎn)程代碼執(zhí)行。攻擊中使用了一系列Linux Shell腳本，下載了為防火墻操作系統(tǒng)編譯的惡意軟件。該漏洞分析針對的是Sophos產(chǎn)品，旨在從防火墻竊取敏感信息。

漏洞分析

攻擊者發(fā)現(xiàn)并利用了零日SQL注入遠(yuǎn)程代碼執(zhí)行漏洞，利用此漏洞攻擊者能夠在數(shù)據(jù)庫表中插入單行命令。

注入命令觸發(fā)受影響設(shè)備漏洞，從惡意域sophosfirewallupdate.com下載名為Install.sh的Linux Shell腳本。該命令還將此Shell腳本寫入/tmp目錄，使用chmod指定為可執(zhí)行文件并執(zhí)行。該腳本（以x.sh形式寫入設(shè)備）運(yùn)行了一系列SQL命令，并將其他文件植入到虛擬文件系統(tǒng)中。

最初Install.sh腳本運(yùn)行了許多Postgres SQL命令，修改數(shù)據(jù)庫中某些表值或?qū)⑦@些表歸零，其中的一個(gè)表記錄了管理IP地址，從而掩蓋攻擊。但是在某些設(shè)備上，shell腳本的活動導(dǎo)致攻擊者的SQL命令顯示在防火墻管理面板上。

該腳本還會把其他Shell腳本放入/tmp目錄，并修改防火墻操作系統(tǒng)的Shell腳本，在腳本末尾添加一組命令，確保它在每次防火墻啟動時(shí)都能運(yùn)行。

技術(shù)分析

安裝程序腳本x.sh植入了兩個(gè)新的Shell腳本，并修改了操作系統(tǒng)的腳本。植入腳本之一為.lp.sh，其主要功能是連接到惡意的sophosfirewallupdate，下載在防火墻操作系統(tǒng)上運(yùn)行的Linux ELF可執(zhí)行文件。 腳本將下載的文件寫入/tmp中，名為b。

b程序在運(yùn)行時(shí)會從設(shè)備的文件系統(tǒng)中刪除自身，它僅存在于內(nèi)存中。 它會出現(xiàn)在進(jìn)程列表中，進(jìn)程名為cssconf.bin與正常運(yùn)行在防火墻的cscconf.bin合法進(jìn)程相差一個(gè)字符。 它列出了其父進(jìn)程ID為1，這是合法cscconf.bin不會做的。

當(dāng)b處于內(nèi)存中時(shí)，它每3到6個(gè)小時(shí)重復(fù)執(zhí)行任務(wù)，第一次運(yùn)行時(shí)會隨機(jī)選擇一個(gè)延遲間隔。首先，b檢查是否可與43.229.55.44建立連接。 如果無法與該IP地址建立連接，它會嘗試解析惡意域sophosproductupdate.com的IP地址。

如果它解析了該域的IP，并且DNS結(jié)果沒有返回值127.0.0.1，它會下載另一個(gè)名為Sophos.dat的Linux ELF可執(zhí)行文件。

Install.sh/x.sh腳本植入的第二個(gè)Shell腳本以.pg.sh的文件名寫入/tmp目錄。它的主要目的是下載ELF可執(zhí)行文件，該文件在Web服務(wù)器上稱為bk，并以.post_MI名稱寫入文件系統(tǒng)。

第一階段的dropper Install.sh運(yùn)行了許多Postgres SQL命令。這些命令修改了特定的服務(wù)值，每當(dāng)執(zhí)行該服務(wù)時(shí)都會執(zhí)行.post_MI，在每次重新啟動時(shí)都會啟動惡意軟件。該可執(zhí)行文件的功能有限，它檢查是否已將名為.a.PGSQL的文件寫入/tmp目錄，如果找不到，則會下載ragnarokfromasgard.com上托管的patch.sh腳本。在對攻擊進(jìn)行分析時(shí)，該服務(wù)器沒有響應(yīng)。

第三個(gè)腳本用來修改防火墻內(nèi)部操作系統(tǒng)，名為generate_curl_ca_bundle.sh。在修改原始腳本之前，Install.sh/x.sh腳本對原始文件備份（在文件名.generate_curl_ca_bundle.sh之前加了點(diǎn)）。該代碼會植入了另一個(gè)shell腳本/tmp/I。

腳本I具有兩個(gè)主要功能：首先它新建/tmp/.a.PGSQL文件。然后從sophosfirewallupdate域中檢索了一個(gè)名為lc的腳本文件，并將其以.n.sh寫入/tmp目錄并執(zhí)行。該腳本復(fù)制了與.lp.sh腳本，并嘗試從惡意的sophosfirewallupdate網(wǎng)站下載并執(zhí)行b ELF可執(zhí)行文件。

數(shù)據(jù)泄露

惡意軟件下載并執(zhí)行在遠(yuǎn)程服務(wù)器上名為Sophos.dat的文件，并以2own保存到文件系統(tǒng)。

該惡意軟件的主要任務(wù)是數(shù)據(jù)盜竊，它會檢索防火墻中存儲的各種數(shù)據(jù)庫表內(nèi)容并運(yùn)行操作系統(tǒng)命令。 每個(gè)步驟中惡意軟件都會收集信息，然后將其臨時(shí)存儲在防火墻的Info.xg文件中。

首先會嘗試搜索防火墻外部IP地址，先通過網(wǎng)站ifconfig.me來查詢，如果該網(wǎng)站無法訪問，它會嘗試通過checkip.dyndns.org查詢。接下來查詢防火墻數(shù)據(jù)存儲區(qū)域，檢索防火墻及其用戶的信息。下圖顯示了惡意軟件入侵能力。 

該惡意軟件搜集防火墻信息包括：

1、防火墻的許可證和序列號

2、設(shè)備上存儲的用戶郵件列表，管理員帳戶電子郵件

3、防火墻用戶名稱，用戶名，密碼以及管理員帳戶密碼。密碼不是以純文本格式存儲。

4、將防火墻用于SSL VPN的用戶ID和使用“clientless” VPN連接的帳戶列表。

該惡意軟件還查詢了防火墻的內(nèi)部數(shù)據(jù)庫，檢索防火墻用戶的IP地址分配權(quán)限列表，以及設(shè)備本身的信息：操作系統(tǒng)版本，CPU的類型以及內(nèi)存，自上次重啟以來已運(yùn)行了多長時(shí)間，ifconfig和ARP表。

惡意軟件將所有信息寫入Info.xg，使用tar壓縮工具對其進(jìn)行壓縮，然后使用OpenSSL加密文件。 攻擊者使用Triple-DES算法對文件進(jìn)行加密，使用“GUCCI”一詞作為密碼，上傳到IP為38.27.99.69的服務(wù)器上，然后刪除在收集信息時(shí)臨時(shí)創(chuàng)建的文件。

IOCs

Network indicators

URLs

hxxps://sophosfirewallupdate.com/sp/Install.sh

hxxp://sophosfirewallupdate.com/sh_guard/lc

hxxps://sophosfirewallupdate.com/bk

hxxps://sophosfirewallupdate.com/sp/lp

hxxps://ragnarokfromasgard.com/sp/patch.sh

hxxps://sophosfirewallupdate.com/sp/sophos.dat

hxxps://sophosfirewallupdate.com/in_exit

hxxps://sophosfirewallupdate.com/sp/lpin

hxxp://sophosfirewallupdate.com/bkin

hxxp://filedownloaderservers.com/bkin

hxxps://sophosfirewallupdate.com/sp/p.sh

hxxps://sophosfirewallupdate.com/sp/ae.sh

Domains

sophosfirewallupdate.com

filedownloaderservers.com

ragnarokfromasgard.com

sophosenterprisecenter.com

sophoswarehouse.com

sophosproductupdate.com

sophostraining.org

Additional suspicious domains

filedownloaderserverx.com

filedownloaderserver.com

updatefileservercross.com

IPs

43.229.55.44

38.27.99.69

Filesystem paths

/tmp/x.sh

/var/newdb/global/.post_MI

/scripts/vpn/ipsec/generate_curl_ca_bundle.sh (modified)

/scripts/vpn/ipsec/.generate_curl_ca_bundle.sh (original)

/tmp/I

/tmp/.a.PGSQL

/tmp/.n.sh

/tmp/.pg.sh

/tmp/.lp.sh

/tmp/b

/tmp/2own

/tmp/Info.xg

/tmp/%s_.xg.rel

/tmp/%s_.xg.salt

/tmp/ip (result of http://checkip.dyndns.org/ip_dyn)

/tmp/ip_dyn (result of https://ifconfig.me/ip)

上述就是小編為大家分享的如何進(jìn)行Sophos防火墻0day漏洞分析了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。