如何進行Sophos防火墻0day漏洞分析

這期內容當中小編將會給大家帶來有關如何進行Sophos防火墻0day漏洞分析，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

攻擊者使用了未知的SQL注入漏洞針對Sophos防火墻發起攻擊，該漏洞可通過防火墻遠程代碼執行。攻擊中使用了一系列Linux Shell腳本，下載了為防火墻操作系統編譯的惡意軟件。該漏洞分析針對的是Sophos產品，旨在從防火墻竊取敏感信息。

漏洞分析

攻擊者發現并利用了零日SQL注入遠程代碼執行漏洞，利用此漏洞攻擊者能夠在數據庫表中插入單行命令。

注入命令觸發受影響設備漏洞，從惡意域sophosfirewallupdate.com下載名為Install.sh的Linux Shell腳本。該命令還將此Shell腳本寫入/tmp目錄，使用chmod指定為可執行文件并執行。該腳本（以x.sh形式寫入設備）運行了一系列SQL命令，并將其他文件植入到虛擬文件系統中。

最初Install.sh腳本運行了許多Postgres SQL命令，修改數據庫中某些表值或將這些表歸零，其中的一個表記錄了管理IP地址，從而掩蓋攻擊。但是在某些設備上，shell腳本的活動導致攻擊者的SQL命令顯示在防火墻管理面板上。

該腳本還會把其他Shell腳本放入/tmp目錄，并修改防火墻操作系統的Shell腳本，在腳本末尾添加一組命令，確保它在每次防火墻啟動時都能運行。

技術分析

安裝程序腳本x.sh植入了兩個新的Shell腳本，并修改了操作系統的腳本。植入腳本之一為.lp.sh，其主要功能是連接到惡意的sophosfirewallupdate，下載在防火墻操作系統上運行的Linux ELF可執行文件。 腳本將下載的文件寫入/tmp中，名為b。

b程序在運行時會從設備的文件系統中刪除自身，它僅存在于內存中。 它會出現在進程列表中，進程名為cssconf.bin與正常運行在防火墻的cscconf.bin合法進程相差一個字符。 它列出了其父進程ID為1，這是合法cscconf.bin不會做的。

當b處于內存中時，它每3到6個小時重復執行任務，第一次運行時會隨機選擇一個延遲間隔。首先，b檢查是否可與43.229.55.44建立連接。 如果無法與該IP地址建立連接，它會嘗試解析惡意域sophosproductupdate.com的IP地址。

如果它解析了該域的IP，并且DNS結果沒有返回值127.0.0.1，它會下載另一個名為Sophos.dat的Linux ELF可執行文件。

Install.sh/x.sh腳本植入的第二個Shell腳本以.pg.sh的文件名寫入/tmp目錄。它的主要目的是下載ELF可執行文件，該文件在Web服務器上稱為bk，并以.post_MI名稱寫入文件系統。

第一階段的dropper Install.sh運行了許多Postgres SQL命令。這些命令修改了特定的服務值，每當執行該服務時都會執行.post_MI，在每次重新啟動時都會啟動惡意軟件。該可執行文件的功能有限，它檢查是否已將名為.a.PGSQL的文件寫入/tmp目錄，如果找不到，則會下載ragnarokfromasgard.com上托管的patch.sh腳本。在對攻擊進行分析時，該服務器沒有響應。

第三個腳本用來修改防火墻內部操作系統，名為generate_curl_ca_bundle.sh。在修改原始腳本之前，Install.sh/x.sh腳本對原始文件備份（在文件名.generate_curl_ca_bundle.sh之前加了點）。該代碼會植入了另一個shell腳本/tmp/I。

腳本I具有兩個主要功能：首先它新建/tmp/.a.PGSQL文件。然后從sophosfirewallupdate域中檢索了一個名為lc的腳本文件，并將其以.n.sh寫入/tmp目錄并執行。該腳本復制了與.lp.sh腳本，并嘗試從惡意的sophosfirewallupdate網站下載并執行b ELF可執行文件。

數據泄露

惡意軟件下載并執行在遠程服務器上名為Sophos.dat的文件，并以2own保存到文件系統。

該惡意軟件的主要任務是數據盜竊，它會檢索防火墻中存儲的各種數據庫表內容并運行操作系統命令。 每個步驟中惡意軟件都會收集信息，然后將其臨時存儲在防火墻的Info.xg文件中。

首先會嘗試搜索防火墻外部IP地址，先通過網站ifconfig.me來查詢，如果該網站無法訪問，它會嘗試通過checkip.dyndns.org查詢。接下來查詢防火墻數據存儲區域，檢索防火墻及其用戶的信息。下圖顯示了惡意軟件入侵能力。 

該惡意軟件搜集防火墻信息包括：

1、防火墻的許可證和序列號

2、設備上存儲的用戶郵件列表，管理員帳戶電子郵件

3、防火墻用戶名稱，用戶名，密碼以及管理員帳戶密碼。密碼不是以純文本格式存儲。

4、將防火墻用于SSL VPN的用戶ID和使用“clientless” VPN連接的帳戶列表。

該惡意軟件還查詢了防火墻的內部數據庫，檢索防火墻用戶的IP地址分配權限列表，以及設備本身的信息：操作系統版本，CPU的類型以及內存，自上次重啟以來已運行了多長時間，ifconfig和ARP表。

惡意軟件將所有信息寫入Info.xg，使用tar壓縮工具對其進行壓縮，然后使用OpenSSL加密文件。 攻擊者使用Triple-DES算法對文件進行加密，使用“GUCCI”一詞作為密碼，上傳到IP為38.27.99.69的服務器上，然后刪除在收集信息時臨時創建的文件。

IOCs

Network indicators

URLs

hxxps://sophosfirewallupdate.com/sp/Install.sh

hxxp://sophosfirewallupdate.com/sh_guard/lc

hxxps://sophosfirewallupdate.com/bk

hxxps://sophosfirewallupdate.com/sp/lp

hxxps://ragnarokfromasgard.com/sp/patch.sh

hxxps://sophosfirewallupdate.com/sp/sophos.dat

hxxps://sophosfirewallupdate.com/in_exit

hxxps://sophosfirewallupdate.com/sp/lpin

hxxp://sophosfirewallupdate.com/bkin

hxxp://filedownloaderservers.com/bkin

hxxps://sophosfirewallupdate.com/sp/p.sh

hxxps://sophosfirewallupdate.com/sp/ae.sh

Domains

sophosfirewallupdate.com

filedownloaderservers.com

ragnarokfromasgard.com

sophosenterprisecenter.com

sophoswarehouse.com

sophosproductupdate.com

sophostraining.org

Additional suspicious domains

filedownloaderserverx.com

filedownloaderserver.com

updatefileservercross.com

IPs

43.229.55.44

38.27.99.69

Filesystem paths

/tmp/x.sh

/var/newdb/global/.post_MI

/scripts/vpn/ipsec/generate_curl_ca_bundle.sh (modified)

/scripts/vpn/ipsec/.generate_curl_ca_bundle.sh (original)

/tmp/I

/tmp/.a.PGSQL

/tmp/.n.sh

/tmp/.pg.sh

/tmp/.lp.sh

/tmp/b

/tmp/2own

/tmp/Info.xg

/tmp/%s_.xg.rel

/tmp/%s_.xg.salt

/tmp/ip (result of http://checkip.dyndns.org/ip_dyn)

/tmp/ip_dyn (result of https://ifconfig.me/ip)

上述就是小編為大家分享的如何進行Sophos防火墻0day漏洞分析了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業資訊頻道。