MAR-10448362-1.v1 Volt Typhoon
发布日期 2024年2月7日 警报代码 AR24-038A
相关主题: 国家层面威胁, 网络威胁与建议, 事件检测、响应与预防
通知
本报告“按原样”提供,仅用于 informational purposes only。 美国国土安全部 (DHS) 不对此处包含的任何信息提供任何形式的保证。 DHS 不认可本公告中或以其他方式引用的任何商业产品或服务。
本文件标记为 TLP:CLEAR——接收者可以不受限制地共享此信息。 根据适用于公开发布的规则和程序,当信息具有最小或无预见性的滥用风险时,来源方可以使用 TLP:CLEAR。 遵循标准版权规则,TLP:CLEAR 信息可以不受限制地共享。 有关交通灯协议 (TLP) 的更多信息,请参见 http://www.cisa.gov/tlp。
摘要
描述 CISA 收到三个来自被中华人民共和国 (PRC) 国家支持的网络组织“伏特台风” (Volt Typhoon) 入侵的关键基础设施的分析文件。 提交的文件支持发现和命令与控制 (C2):(1) 一个用于在被入侵系统和伏特台风 C2 服务器之间建立反向代理的开源 Fast Reverse Proxy Client (FRPC) 工具;(2) 一个可用于暴露位于网络防火墙后或通过网络地址转换 (NAT) 隐藏的服务器的 Fast Reverse Proxy (FRP);以及 (3) 一个名为 ScanLine 的公开端口扫描器。 有关伏特台风的更多信息,请参阅联合网络安全建议《PRC State-Sponsored Actors Compromise, and Maintain Persistent Access to, U.S. Critical Infrastructure》。有关中华人民共和国国家支持的恶意网络活动的更多信息,请参见 CISA 的 China Cyber Threat Overview and Advisories 网页。
下载本报告的 PDF 版本: MAR-10448362.c1.v2.CLEAR_.pdf (PDF, 439.81 KB)
下载与此 MAR 相关的 IOCs(JSON 格式): MAR-10448362.c1.v2.CLEAR_stix2.json (JSON, 51.99 KB)
提交的文件 (3)
99b80c5ac352081a64129772ed5e1543d94cad708ba2adc46dc4ab7a0bd563f1(SMSvcService.exe)eaef901b31b5835035b75302f94fee27288ce46971c6db6221ecbea9ba7ff9d0(eaef901b31b5835035b75302f94fee…)edc0c63065e88ec96197c7a40662a15a812a9583dc6c82b18ecd7e43b13b70(BrightmetricAgent.exe)
分析结果
edc0c63065e88ec96197c7a40662a15a812a9583dc6c82b18ecd7e43b13b70
标签 obfuscated, proxy, trojan, utility
详情
| 属性 | 值 |
|---|---|
| 名称 | BrightmetricAgent.exe |
| 大小 | 2840064 字节 |
| 类型 | PE32+ executable (console) x86-64 (stripped to external PDB), for MS Windows |
| MD5 | fd41134e8ead1c18ccad27c62a260aa6 |
| SHA1 | 04423659f175a6878b26ac7d6b6e47c6fd9194d1 |
| SHA256 | edc0c63065e88ec96197c7a40662a15a812a9583dc6c82b18ecd7e43b13b70 |
| SHA512 | df55591e730884470afba688e17c83fafb157ecf94c9f10a20e21f229434ea58b59f8eb771f8f9e29993f43f4969fe66dd913128822b534c9b1a677453dbb93c |
| ssdeep | 49152:99z0w/qP1dKPzeietmd64H9QaIG0aYkn0GzkWVISaJUET6qyxASuOszP7hn+S6wB:v0R9dKSiekd68ZIQ0obVI9UG6qyuhF6 |
| 熵值 | 7.999902 |
杀毒软件检测
| 厂商 | 检测结果 |
|---|---|
| Adaware | Generic.Trojan.Volt.Marte.A.05F91E9C |
| Antiy | GrayWare/Win32.Kryptik.ffp |
| Bitdefender | Generic.Trojan.Volt.Marte.A.05F91E9C |
| Emsisoft | Generic.Trojan.Volt.Marte.A.05F91E9C (B) |
| ESET | a variant of WinGo/HackTool.Agent.Y trojan |
| IKARUS | Trojan.WinGo.Rozena |
| Microsoft Defender | Malware |
| Sophos | App/FRProxy-F |
| Varist | W64/Agent.FXW.gen!Eldorado |
YARA 规则 未找到匹配项。 ssdeep 匹配 未找到匹配项。
描述 此工件是一个使用 GO 语言 (Golang) 编写并使用 Ultimate Packer for Executables (UPX) 打包的跨平台全功能 FRP。该实用程序可用于定位位于网络防火墙后或通过 NAT 隐藏的服务器。它包含 KCP(无缩写)网络协议,该协议允许在用户数据报协议 (UDP) 上使用数据包级加密支持进行错误检查和匿名数据流传输。 该程序包含两个不同的多路复用器库,可以在 NAT 网络上的双向流数据。它还包含一个命令行界面 (CLI) 库,可以利用 PowerShell、Windows Management Instrumentation (WMI) 和 Z Shell (zsh) 等命令外壳。此外,该实用程序具有一项独特的功能,可以检测该实用程序是从命令行执行还是通过双击执行。 默认情况下,它被配置为连接到传输控制协议 (TCP) 端口 1080 上的互联网协议 (IP) 地址。它必须从 C2 接收到一个特殊格式的数据包才能在该系统上部署。
eaef901b31b5835035b75302f94fee27288ce46971c6db6221ecbea9ba7ff9d0
标签 pup, trojan
详情
| 属性 | 值 |
|---|---|
| 名称 | eaef901b31b5835035b75302f94fee27288ce46971c6db6221ecbea9ba7ff9d0 |
| 大小 | 20480 字节 |
| 类型 | PE32 executable (console) Intel 80386, for MS Windows, UPX compressed |
| MD5 | 3a97d9b6f17754dcd38ca7fc89caab04 |
| SHA1 | ffb1d8ea3039d3d5eb7196d27f5450cac0ea4f34 |
| SHA256 | eaef901b31b5835035b75302f94fee27288ce46971c6db6221ecbea9ba7ff9d0 |
| SHA512 | d99941e4445efed5d4e407f91a9e5bba08d1be3f0dab065d1bfb4e70ab48d6526a730233d6889ba58de449f622e6a14e99dab853d40fc30a508627fd2735c973 |
| ssdeep | 384:ahXoLj9Zez0Bm4SUZa8WLLXyjSL2RtfAwj/yneIMUogQ:ahXoLhZez0m4SIabLLCmL2Rvj/yeIEg |
| 熵值 | 7.297754 |
杀毒软件检测
| 厂商 | 检测结果 |
|---|---|
| AhnLab | Unwanted/Win32.Foundstone |
| Antiy | HackTool[NetTool]/Win32.Portscan |
| ClamAV | Win.Trojan.Scanline-1 |
| Comodo | ApplicUnwnt |
| Cylance | Malware |
| Filseclab | Hacktool.ScanLine.a.fsff |
| IKARUS | Virtool |
| Microsoft Defender | Malware |
| NANOAV | Riskware.Win32.ScanLine.dhhus |
| Quick Heal | Trojan.Win32 |
| Scrutiny | Malware |
| Sophos | App/ScanLn-A |
| VirusBlokAda | Trojan.Genome.fl |
| Zillya! | Tool.Portscan.Win32.77 |
YARA 规则 未找到匹配项。 ssdeep 匹配 未找到匹配项。
描述 此工件是来自 Foundstone, Inc. 的命令行端口扫描实用程序 ScanLine,使用 UPX 打包。它用于扫描开放的 UDP 和 TCP 端口、从开放端口抓取横幅、将 IP 地址解析为主机名以及绑定到指定的端口和 IP 地址。
截图
99b80c5ac352081a64129772ed5e1543d94cad708ba2adc46dc4ab7a0bd563f1
标签 obfuscated, proxy, trojan
详情
| 属性 | 值 |
|---|---|
| 名称 | SMSvcService.exe |
| 大小 | 3712512 字节 |
| 类型 | PE32+ executable (console) x86-64 (stripped to external PDB), for MS Windows |
| MD5 | b1de37bf229890ac181bdef1ad8ee0c2 |
| SHA1 | ffdb3cc7ab5b01d276d23ac930eb21ffe3202d11 |
| SHA256 | 99b80c5ac352081a64129772ed5e1543d94cad708ba2adc46dc4ab7a0bd563f1 |
| SHA512 | e41df636a36ac0cce38e7db5c2ce4d04a1a7f9bc274bdf808912d14067dc1ef478268035521d0d4b7bcf96facce7f515560b38a7ebe47995d861b9c482e07e25 |
| ssdeep | 98304:z2eyMq4PuR5d7wgdo0OFfnFJkEUCGdaQLhpYYEfRTl6sysy:ryxzbdo0ifnoEOdz9pY7j5 |
| 熵值 | 7.890436 |
杀毒软件检测
| 厂商 | 检测结果 |
|---|---|
| Adaware | Generic.Trojan.Volt.Marte.A.105C517F |
| AhnLab | HackTool/Win.Frpc |
| Antiy | GrayWare/Win32.Kryptik.ffp |
| Bitdefender | Generic.Trojan.Volt.Marte.A.105C517F |
| Emsisoft | Generic.Trojan.Volt.Marte.A.105C517F (B) |
| ESET | a variant of WinGo/Riskware.Frp.U application |
| IKARUS | Trojan.WinGo.Shellcoderunner |
| Microsoft Defender | Malware |
| Sophos | App/FRProxy-F |
| Varist | W64/Agent.FXW.gen!Eldorado |
YARA 规则 未找到匹配项。 ssdeep 匹配 未找到匹配项。
PE 元数据
| 属性 | 值 |
|---|---|
| 编译日期 | 1970-01-01 00:00:00+00:00 |
| 导入哈希 | 6ed4f5f04d62b18d96b26d6db7c18840 |
PE 节区
| MD5 | 名称 | 原始大小 | 熵值 |
|---|---|---|---|
| 7f8e8722da728b6e834260b5a314cbac | header | 512 | 2.499747 |
| d41d8cd98f00b204e9800998ecf8427e | UPX0 | 0 | 0.000000 |
| f9943591918adeeeee7da80e4d985a49 | UPX1 | 3711488 | 7.890727 |
| 5c0061445ac2f8e6cadf694e54146914 | UPX2 | 512 | 1.371914 |
描述 此工件是一个使用 UPX 打包的 64 位 Windows 可执行文件。此打包文件包含一个在 GitHub 上发布的开源工具“FRPC”的编译版本。“FRPC”是一个用 Golang 编写的命令行工具,旨在在被入侵系统和威胁行为者 (TA) 的 C2 服务器之间建立反向代理。 当“FRPC”在被入侵系统上安装并执行时,它会尝试使用反向代理方法与 Fast Reverse Proxy Server (FRPS) 建立连接,以允许 TA 控制被入侵系统。此“FRPC”应用程序支持加密、压缩,并允许简单的令牌身份验证。它还支持以下协议:
--开始协议--
传输控制协议 (TCP)
用户数据报协议 (UDP)
替代超文本传输协议 (HTTP)
替代超文本传输安全协议 (HTTPS)
--结束协议--
下方显示的是“FRPC”工具的配置,其中包含网络通信方法、远程“FRPS”服务器的公共互联网协议 (IP) 地址和端口号:
--开始配置--
[common]
server_addr = 192.168.18.111
server_port = 8081
server_addrs = [默认 IP 地址]
server_ports = 8443,8443,8443
token = 1kyRdFmuk0i25JbCJmtift1c9VA05VBS
protocol = tcp
tls_enable = true
disable_custom_tls_first_byte = true
log_level = debug
[plugin_socks5]
type = tcp
remote_port = 1080
plugin = socks5
use_encryption = true
use_compression = true
--结束配置--
下方显示的是“FRPC”工具的命令行用法和标志:
--开始用法和标志--
用法:
frpc [flags]
frpc [command]
可用命令: help 帮助关于任何命令 tcp 使用单个 tcp 代理运行 frpc udp 使用单个 udp 代理运行 frpc verify 验证配置是否有效
标志: -c, –config string frpc 的配置文件 (默认 “./frpc.ini”) -h, –help 帮助 frpc -v, –version frpc 版本
使用 “frpc [command] –help” 获取有关命令的更多信息。
使用单个 tcp 代理运行 frpc 用法: frpc tcp [flags]
标志: –disable_log_color 在控制台中禁用日志颜色 -h, –help 帮助 tcp -i, –local_ip string 本地 ip (默认 “127.0.0.1”) -l, –local_port int 本地端口 –log_file string 控制台或文件路径 (默认 “console”) –log_level string 日志级别 (默认 “info”) –log_max_days int 日志文件保留天数 (默认 3) -p, –protocol string tcp 或 kcp 或 websocket (默认 “tcp”) -n, –proxy_name string 代理名称 -r, –remote_port int 远程端口 -s, –server_addr string frp 服务器地址 (默认 “127.0.0.1:7000”) –tls_enable 启用 frpc tls -t, –token string 认证令牌 –uc 使用压缩 –ue 使用加密 -u, –user string 用户
全局标志: -c, –config string frpc 的配置文件 (默认 “./frpc.ini”) -v, –version frpc 版本
使用单个 udp 代理运行 frpc 用法: frpc udp [flags]
标志: –disable_log_color 在控制台中禁用日志颜色 -h, –help 帮助 udp -i, –local_ip string 本地 ip (默认 “127.0.0.1”) -l, –local_port int 本地端口 –log_file string 控制台或文件路径 (默认 “console”) –log_level string 日志级别 (默认 “info”) –log_max_days int 日志文件保留天数 (默认 3) -p, –protocol string tcp 或 kcp 或 websocket (默认 “tcp”) -n, –proxy_name string 代理名称 -r, –remote_port int 远程端口 -s, –server_addr string frp 服务器地址 (默认 “127.0.0.1:7000”) –tls_enable 启用 frpc tls -t, –token string 认证令牌 –uc 使用压缩 –ue 使用加密 -u, –user string 用户
全局标志: -c, –config string frpc 的配置文件 (默认 “./frpc.ini”) -v, –version frpc 版本
验证配置是否有效 用法: frpc verify [flags]
标志: -h, –help 帮助 verify
全局标志:
-c, –config string frpc 的配置文件 (默认 “./frpc.ini”)
-v, –version frpc 版本
--结束用法和标志--
建议
CISA 建议用户和管理员考虑使用以下最佳实践来加强其组织系统的安全态势。任何配置更改都应在实施前由系统所有者和管理员审查,以避免意外影响。
- 保持最新的防病毒签名和引擎。
- 保持操作系统补丁最新。
- 禁用文件和打印机共享服务。如果需要这些服务,请使用强密码或 Active Directory 身份验证。
- 限制用户安装和运行不需要的软件应用程序的能力(权限)。除非必要,否则不要将用户添加到本地管理员组。
- 强制执行强密码策略并实施定期密码更改。
- 打开电子邮件附件时保持谨慎,即使附件是预期的并且发件人似乎是已知的。
- 在机构工作站上启用个人防火墙,配置为拒绝未经请求的连接请求。
- 禁用机构工作站和服务器上不必要的服务。
- 扫描并删除可疑的电子邮件附件;确保扫描的附件是其“真实文件类型”(即扩展名与文件头匹配)。
- 监控用户的网页浏览习惯;限制访问包含不良内容的网站。
- 使用可移动媒体(例如 USB 闪存驱动器、外部驱动器、CD 等)时保持谨慎。
- 在执行之前扫描所有从互联网下载的软件。
- 对最新威胁保持态势感知,并实施适当的访问控制列表 (ACL)。
有关恶意软件事件预防和处理的更多信息,请参阅美国国家标准与技术研究院 (NIST) 特别出版物 800-83,“Guide to Malware Incident Prevention & Handling for Desktops and Laptops”。
联系信息
- 1-844-Say-CISA
- contact@mail.cisa.dhs.gov (link sends email) (UNCLASS)
- CISA SIPR (link sends email) (SIPRNET)
- CISA IC (link sends email) (JWICS)
CISA 持续努力改进其产品和服务。您可以通过在以下 URL 回答关于此产品的非常简短的一系列问题来提供帮助:https://www.cisa.gov/forms/feedback
文档常见问题解答
- 什么是 MIFR? 恶意软件初步分析报告 (MIFR) 旨在及时向组织提供恶意软件分析。在大多数情况下,本报告将提供计算机和网络防御的初步指标。要请求进一步分析,请联系 CISA 并提供有关所需分析级别的信息。
- 什么是 MAR? 恶意软件分析报告 (MAR) 旨在通过手动逆向工程向组织提供更详细的恶意软件分析。要请求进一步分析,请联系 CISA 并提供有关所需分析级别的信息。
- 我可以编辑此文档吗? 接收者不得以任何方式编辑本文档。与本文档相关的所有评论或问题应直接发送至 CISA,电话:1-844-Say-CISA 或邮箱:contact@mail.cisa.dhs.gov (link sends email)
- 我可以向 CISA 提交恶意软件吗? 恶意软件样本可以通过三种方法提交:
- 网站:https://www.cisa.gov/resources-tools/services/malware-next-generation-analysis
- 电子邮件:submit@malware.us-cert.gov (link sends email)
CISA 鼓励您报告任何可疑活动,包括网络安全事件、可能的恶意代码、软件漏洞和网络钓鱼相关诈骗。报告表格可在 CISA 主页 www.cisa.gov 上找到。
本产品根据此通知和此隐私与使用政策提供。
标签 主题:网络威胁与建议, 事件检测、响应与预防, 国家层面威胁