美国FBI和DHS联合报告之技术性解读

美国政府近几个月正式指责俄罗斯干涉美国大选,去年10月7日,国土安全部和国家情报局发布联合声明:美国情报界(USIC)相信,俄罗斯政府用电子邮件攻击美国的个人和机构,包括美国的政治组织。
12月29日,奥巴马政府宣布将驱逐35名俄罗斯外交官,并关闭两个俄罗斯在美国的设施,作为俄罗斯干预美国2016年大选的惩罚。
DHS和DNI联合发布分析报告
此外,12月29日美国国土安全部(DHS)和美国国家情报局(DNI)联合发布了一份分析报告。该报告由DHS和FBI编制,他们声称俄罗斯代号为草原灰熊”的黑客组织干扰了美国大选。
在这份报告中有这样一段:本文档提供俄罗斯非军事和军事情报机构(RIS)所使用的工具和基础设施的技术细节,及攻击美国大选的网络和节点、政府、政党和私营部门等情况,这个报告包含明确的攻陷标志,包括IP地址和一个PHP恶意样本。”
开放监督和保护隐私是一个硬币的两面,要分清谁是谁非可是个哲学和立场方面的问题。
因为Wordfence公司主要从事WordPress相关安全工作,因为WordPress是用PHP写的,因此,我们的安全分析师花了大量时间对这个PHP恶意样本进行了分析。
作为一个有趣的小项目,我们分析了美国政府提供PHP恶意样本,及公布的IP地址[Source]。
我们分析DHS提供的PHP恶意样本数据。同时,我们也试图找到完整的恶意样本。我们发现攻击者试图用它来感染WordPress网站,还好,我们成功发现了完整的恶意样本,并过滤出来了。下面就是。
上图是头部,下图是尾部。中间包含了一个加密的文本块。
这是上传到一个服务器上的PHP恶意软件。攻击者可以通过浏览器访问、并需要输入一个密码。这个密码同时也是一个解密密钥,这个密钥会解密中间的加密块,然后执行解密的块。一旦攻击者输入了他们的密码,会自动存储一个cookie,以后攻击者再访问PHP恶意软件时,就不用再输入密码了。
我们对一个攻击者的HTTP请求进行了嗅探,成功抓到了他们的密码,密码是avto”。我们使用这个密码对加密块进行解密。
下面是解密的文本,看起来像是PHP代码。这是一大块PHP代码,是一个WEBSHELL。
我们将这个WEBSHELL安装到了沙盒环境中,下面是它的界面:
这种类型的WEBSHELL,我们经常能看到,它包含了以下几个基本功能:
1.文件浏览器/资源管理器。
2.文件搜索功能。
3.一个能下载数据库内容的黑客数据库客户端。
4.端口扫描工具,及将某服务绑定到特定端口的功能。
5.对FTP和POP3服务进行暴力破解的功能。
6.运行任意操作系统命令的命令行客户端。
7.查看服务器配置信息的功能。
通过查看源代码,我们可以找到恶意软件的名称和版本,它是P.A.S. 3.1.0”。
我们在GOOGLE上搜索了该恶意软件,发现有一个网站可以在线生成这个恶意软件(目前已经无法访问到)。
你可以在网页中输入一个密码,这个密码就是生成的PHP恶意软件的密码。然后点击download”按键,可以下载一个ZIP文件。文件中包含了一个TXT文件和该PHP恶意软件。
网络安全公益短片小心披露您的地理位置信息
这个网站声称该PHP恶意软件是乌克兰人制作的,同时,PHP恶意代码的底部有乌克兰的国家代码UA”。

不过,在网站上生成的PHP恶意软件版本是3.1.7,这比DHS声称的版本(3.1.0)要新,不过,这两个版本的PHP恶意软件代码相差不多,下图是3.1.7版本的头部:
下图是尾部:
但是这个PAS恶意软件从3.1.7以后有了更深的发展,新版本是4.1.1b,可以从相同的网站中得到:
下面是4.1.1b版本的info.txt文件的内容:
并且,4.1.1b版本的代码变化相当大,下图是它的头部:
[1][2]下一页
公司应该按照国家密码管理相关规定和要求,建立健全密码设备管理制度,加强密码设备使用人员管理,使用符合国家要求和信息加密强度要求的加密技术和产品,加强相关信息系统安全保密设计和建设。

猜您喜欢

善用外资国家安审”安全阀”机制
网络安全微课——移动终端设备安全基础
企业安全歌,唱红中国,唱响全球
失眠的人千万不能吃的食物 越吃越睡不着!
DEPODECO KATYMCARTER
信息安全意识考试测试系统