深入分析Volt Typhoon:APT组织使用的网络攻击工具集

本文详细分析了美国CISA发布的关于中国国家支持的黑客组织Volt Typhoon使用的三款恶意工具。报告深入剖析了其使用的FRP代理工具、端口扫描器的技术细节、攻击手法以及相应的安全防护建议。

MAR-10448362-1.v1 Volt Typhoon | CISA

分析报告

MAR-10448362-1.v1 Volt Typhoon

发布日期 2024年2月07日 警报代码 AR24-038A

相关主题: 国家支持威胁, 网络威胁与建议, 事件检测、响应与预防

通知

本报告按“原样”提供,仅用于信息目的。美国国土安全部(DHS)对本文中包含的任何信息不作任何形式的保证。DHS不认可本公告中或以其他方式引用的任何商业产品或服务。 本文档标记为TLP:CLEAR——接收方可以不受限制地共享此信息。根据适用于公开发布的规则和程序,当信息滥用风险最小或不可预见时,来源方可使用TLP:CLEAR。遵循标准版权规则,TLP:CLEAR信息可以不受限制地共享。有关交通灯协议(TLP)的更多信息,请参阅 http://www.cisa.gov/tlp

摘要

描述 CISA收到了三份文件,这些文件是从一个被中华人民共和国(PRC)国家支持的网络组织(称为Volt Typhoon)入侵的关键基础设施中获取并进行分析的。提交的文件支持发现和命令与控制(C2):(1)一个开源的Fast Reverse Proxy Client(FRPC)工具,用于在被入侵系统和Volt Typhoon C2服务器之间打开反向代理;(2)一个Fast Reverse Proxy(FRP),可用于暴露位于网络防火墙后面或通过网络地址转换(NAT)隐藏的服务器;以及(3)一个名为ScanLine的公开可用的端口扫描器。有关Volt Typhoon的更多信息,请参阅联合网络安全建议《PRC国家支持的行动者入侵并维持对美国关键基础设施的持久访问》。有关PRC国家支持的恶意网络活动的更多信息,请参阅CISA的中国网络威胁概述和建议网页。

下载本报告的PDF版本: [MAR-10448362.c1.v2.CLEAR_.pdf](PDF, 439.81 KB)

下载与此MAR相关的IOC(JSON格式): [MAR-10448362.c1.v2.CLEAR_stix2.json](JSON, 51.99 KB)

提交的文件(3个)

99b80c5ac352081a64129772ed5e1543d94cad708ba2adc46dc4ab7a0bd563f1 (SMSvcService.exe) eaef901b31b5835035b75302f94fee27288ce46971c6db6221ecbea9ba7ff9d0 (eaef901b31b5835035b75302f94fee…) edc0c63065e88ec96197c8d7a40662a15a812a9583dc6c82b18ecd7e43b13b70 (BrightmetricAgent.exe)

发现

edc0c63065e88ec96197c8d7a40662a15a812a9583dc6c82b18ecd7e43b13b70

标签 obfuscatedproxytrojanutility

详情

  • 名称 BrightmetricAgent.exe
  • 大小 2840064 字节
  • 类型 PE32+ 可执行文件(控制台)x86-64(已剥离外部PDB),适用于MS Windows
  • MD5 fd41134e8ead1c18ccad27c62a260aa6
  • SHA1 04423659f175a6878b26ac7d6b6e47c6fd9194d1
  • SHA256 edc0c63065e88ec96197c8d7a40662a15a812a9583dc6c82b18ecd7e43b13b70
  • SHA512 df55591e730884470afba688e17c83fafb157ecf94c9f10a20e21f229434ea58b59f8eb771f8f9e29993f43f4969fe66dd913128822b534c9b1a677453dbb93c
  • ssdeep 49152:99z0w/qP1dKPzeietmd64H9QaIG0aYkn0GzkWVISaJUET6qyxASuOszP7hn+S6wB:v0R9dKSiekd68ZIQ0obVI9UG6qyuhF6
  • 7.999902

杀毒软件检测

  • Adaware: Generic.Trojan.Volt.Marte.A.05F91E9C
  • Antiy: GrayWare/Win32.Kryptik.ffp
  • Bitdefender: Generic.Trojan.Volt.Marte.A.05F91E9C
  • Emsisoft: Generic.Trojan.Volt.Marte.A.05F91E9C (B)
  • ESET: a variant of WinGo/HackTool.Agent.Y trojan
  • IKARUS: Trojan.WinGo.Rozena
  • Microsoft Defender: Malware
  • Sophos: App/FRProxy-F
  • Varist: W64/Agent.FXW.gen!Eldorado

YARA 规则 未找到匹配项。 ssdeep 匹配 未找到匹配项。

描述 此工件是一个跨平台全功能FRP,使用GO语言(Golang)编写,并使用Ultimate Packer for Executables (UPX)打包。此实用程序可用于定位位于网络防火墙后面或通过NAT隐藏的服务器。它包含KCP(无缩写)网络协议,该协议允许在使用用户数据报协议(UDP)并进行数据包级加密支持的情况下进行错误检查和匿名数据传输。该程序包含两个不同的多路复用器库,可以在NAT网络上传送双向数据流。它还包含一个命令行界面(CLI)库,可以利用命令外壳,如PowerShell、Windows Management Instrumentation (WMI)和Z Shell (zsh)。此外,该实用程序具有独特的功能,可以检测该实用程序是从命令行执行还是通过双击执行。默认情况下,它配置为连接到传输控制协议(TCP)端口1080上的互联网协议(IP)地址。它必须从C2接收特殊构造的数据包才能部署到系统上。

eaef901b31b5835035b75302f94fee27288ce46971c6db6221ecbea9ba7ff9d0

标签 puptrojan

详情

  • 名称 eaef901b31b5835035b75302f94fee27288ce46971c6db6221ecbea9ba7ff9d0
  • 大小 20480 字节
  • 类型 PE32 可执行文件(控制台)Intel 80386,适用于MS Windows,UPX压缩
  • MD5 3a97d9b6f17754dcd38ca7fc89caab04
  • SHA1 ffb1d8ea3039d3d5eb7196d27f5450cac0ea4f34
  • SHA256 eaef901b31b5835035b75302f94fee27288ce46971c6db6221ecbea9ba7ff9d0
  • SHA512 d99941e4445efed5d4e407f91a9e5bba08d1be3f0dab065d1bfb4e70ab48d6526a730233d6889ba58de449f622e6a14e99dab853d40fc30a508627fd2735c973
  • ssdeep 384:ahXoLj9Zez0Bm4SUZa8WLLXyjSL2RtfAwj/yneIMUogQ:ahXoLhZez0m4SIabLLCmL2Rvj/yeIEg
  • 7.297754

杀毒软件检测

  • AhnLab: Unwanted/Win32.Foundstone
  • Antiy: HackTool[NetTool]/Win32.Portscan
  • ClamAV: Win.Trojan.Scanline-1
  • Comodo: ApplicUnwnt
  • Cylance: Malware
  • Filseclab: Hacktool.ScanLine.a.fsff
  • IKARUS: Virtool
  • Microsoft Defender: Malware
  • NANOAV: Riskware.Win32.ScanLine.dhhus
  • Quick Heal: Trojan.Win32
  • Scrutiny: Malware
  • Sophos: App/ScanLn-A
  • VirusBlokAda: Trojan.Genome.fl
  • Zillya!: Tool.Portscan.Win32.77

YARA 规则 未找到匹配项。 ssdeep 匹配 未找到匹配项。

描述 此工件是来自Foundstone, Inc.的命令行端口扫描实用程序,称为ScanLine,使用UPX打包。它用于扫描开放的UDP和TCP端口,从开放端口抓取横幅,将IP地址解析为主机名,以及绑定到指定的端口和IP地址。

屏幕截图 图1 - ScanLine实用程序的用法和语法。

99b80c5ac352081a64129772ed5e1543d94cad708ba2adc46dc4ab7a0bd563f1

标签 obfuscatedproxytrojan

详情

  • 名称 SMSvcService.exe
  • 大小 3712512 字节
  • 类型 PE32+ 可执行文件(控制台)x86-64(已剥离外部PDB),适用于MS Windows
  • MD5 b1de37bf229890ac181bdef1ad8ee0c2
  • SHA1 ffdb3cc7ab5b01d276d23ac930eb21ffe3202d11
  • SHA256 99b80c5ac352081a64129772ed5e1543d94cad708ba2adc46dc4ab7a0bd563f1
  • SHA512 e41df636a36ac0cce38e7db5c2ce4d04a1a7f9bc274bdf808912d14067dc1ef478268035521d0d4b7bcf96facce7f515560b38a7ebe47995d861b9c482e07e25
  • ssdeep 98304:z2eyMq4PuR5d7wgdo0OFfnFJkEUCGdaQLhpYYEfRTl6sysy:ryxzbdo0ifnoEOdz9pY7j5
  • 7.890436

杀毒软件检测

  • Adaware: Generic.Trojan.Volt.Marte.A.105C517F
  • AhnLab: HackTool/Win.Frpc
  • Antiy: GrayWare/Win32.Kryptik.ffp
  • Bitdefender: Generic.Trojan.Volt.Marte.A.105C517F
  • Emsisoft: Generic.Trojan.Volt.Marte.A.105C517F (B)
  • ESET: a variant of WinGo/Riskware.Frp.U application
  • IKARUS: Trojan.WinGo.Shellcoderunner
  • Microsoft Defender: Malware
  • Sophos: App/FRProxy-F
  • Varist: W64/Agent.FXW.gen!Eldorado

YARA 规则 未找到匹配项。 ssdeep 匹配 未找到匹配项。

PE元数据

  • 编译日期 1970-01-01 00:00:00+00:00
  • 导入哈希 6ed4f5f04d62b18d96b26d6db7c18840

PE节区

MD5 名称 原始大小
7f8e8722da728b6e834260b5a314cbac header 512 2.499747
d41d8cd98f00b204e9800998ecf8427e UPX0 0 0.000000
f9943591918adeeeee7da80e4d985a49 UPX1 3711488 7.890727
5c0061445ac2f8e6cadf694e54146914 UPX2 512 1.371914

描述 此工件是一个64位Windows可执行文件,使用UPX打包。此打包文件包含一个在GitHub上发布的开源工具"FRPC"的编译版本。“FRPC"是一个用Golang编写的命令行工具,旨在在被入侵系统和攻击者的C2服务器之间打开反向代理。当"FRPC"在被入侵系统上安装并执行时,它会尝试使用反向代理方法与Fast Reverse Proxy Server(FRPS)建立连接,以允许攻击者控制被入侵系统。此"FRPC"应用程序支持加密、压缩,并允许简单的令牌认证。它还支持以下协议: --Begin protocols-- 传输控制协议(TCP) 用户数据报协议(UDP) 替代超文本传输协议(HTTP) 替代超文本传输安全协议(HTTPS) --End protocols-- 下面显示的是"FRPC"工具的配置,包含网络通信方法、远程"FRPS"服务器的公共互联网协议(IP)地址和端口号: --Begin configuration-- [common] server_addr = 192.168.18.111 server_port = 8081 server_addrs = [默认IP地址] server_ports = 8443,8443,8443 token = 1kyRdFmuk0i25JbCJmtift1c9VA05VBS protocol = tcp tls_enable = true disable_custom_tls_first_byte = true log_level = debug

[plugin_socks5]
type = tcp
remote_port = 1080
plugin = socks5
use_encryption = true
use_compression = true

--End configuration-- 下面是"FRPC"工具的命令行用法和标志: --Begin usages and flags-- 用法: frpc [flags] frpc [command]

可用命令: help 关于任何命令的帮助 tcp 使用单个tcp代理运行frpc udp 使用单个udp代理运行frpc verify 验证配置是否有效

标志: -c, –config string frpc的配置文件 (默认 “./frpc.ini”) -h, –help frpc的帮助 -v, –version frpc的版本

使用 “frpc [command] –help” 获取有关命令的更多信息。

使用单个tcp代理运行frpc 用法: frpc tcp [flags]

标志: –disable_log_color 在控制台中禁用日志颜色 -h, –help tcp的帮助 -i, –local_ip string 本地ip (默认 “127.0.0.1”) -l, –local_port int 本地端口 –log_file string 控制台或文件路径 (默认 “console”) –log_level string 日志级别 (默认 “info”) –log_max_days int 日志文件保留天数 (默认 3) -p, –protocol string tcp 或 kcp 或 websocket (默认 “tcp”) -n, –proxy_name string 代理名称 -r, –remote_port int 远程端口 -s, –server_addr string frp服务器的地址 (默认 “127.0.0.1:7000”) –tls_enable 启用frpc tls -t, –token string 认证令牌 –uc 使用压缩 –ue 使用加密 -u, –user string 用户

全局标志: -c, –config string frpc的配置文件 (默认 “./frpc.ini”) -v, –version frpc的版本

使用单个udp代理运行frpc 用法: frpc udp [flags]

标志: –disable_log_color 在控制台中禁用日志颜色 -h, –help udp的帮助 -i, –local_ip string 本地ip (默认 “127.0.0.1”) -l, –local_port int 本地端口 –log_file string 控制台或文件路径 (默认 “console”) –log_level string 日志级别 (默认 “info”) –log_max_days int 日志文件保留天数 (默认 3) -p, –protocol string tcp 或 kcp 或 websocket (默认 “tcp”) -n, –proxy_name string 代理名称 -r, –remote_port int 远程端口 -s, –server_addr string frp服务器的地址 (默认 “127.0.0.1:7000”) –tls_enable 启用frpc tls -t, –token string 认证令牌 –uc 使用压缩 –ue 使用加密 -u, –user string 用户

全局标志: -c, –config string frpc的配置文件 (默认 “./frpc.ini”) -v, –version frpc的版本

验证配置是否有效 用法: frpc verify [flags]

标志: -h, –help verify的帮助

全局标志: -c, –config string frpc的配置文件 (默认 “./frpc.ini”) -v, –version frpc的版本 --End usages and flags--

建议

CISA建议用户和管理员考虑使用以下最佳实践来加强其组织系统的安全态势。任何配置更改都应在实施前由系统所有者和管理员审查,以避免产生不良影响。

  • 保持最新的防病毒特征码和引擎。
  • 保持操作系统补丁最新。
  • 禁用文件和打印机共享服务。如果需要这些服务,请使用强密码或Active Directory认证。
  • 限制用户安装和运行不需要的软件应用程序的能力(权限)。除非必要,否则不要将用户添加到本地管理员组。
  • 强制执行强密码策略并实施定期密码更改。
  • 打开电子邮件附件时要小心谨慎,即使附件是预期的且发件人看起来是已知的。
  • 在机构工作站上启用个人防火墙,配置为拒绝未经请求的连接请求。
  • 在机构工作站和服务器上禁用不必要的服务。
  • 扫描并删除可疑的电子邮件附件;确保扫描的附件是其“真实文件类型”(即,扩展名与文件头匹配)。
  • 监控用户的网页浏览习惯;限制访问具有不良内容的网站。
  • 使用可移动媒体(例如,U盘、外置驱动器、CD等)时要小心。
  • 在执行之前扫描从互联网下载的所有软件。
  • 对最新威胁保持态势感知,并实施适当的访问控制列表(ACL)。

有关恶意软件事件预防和处理的更多信息,请参阅美国国家标准与技术研究院(NIST)特别出版物800-83《桌面和笔记本电脑恶意软件事件预防和处理指南》。

联系信息

CISA不断努力改进其产品和服务。您可以通过在以下URL回答一个非常简短的问题系列来提供帮助:https://www.cisa.gov/forms/feedback

文档常见问题解答

  • 什么是MIFR? 恶意软件初步发现报告(MIFR)旨在及时向组织提供恶意软件分析。在大多数情况下,本报告将提供计算机和网络防御的初始指标。要请求进一步分析,请联系CISA并提供有关所需分析级别的信息。
  • 什么是MAR? 恶意软件分析报告(MAR)旨在通过手动逆向工程向组织提供更详细的恶意软件分析。要请求进一步分析,请联系CISA并提供有关所需分析级别的信息。
  • 我可以编辑此文档吗? 接收方不得以任何方式编辑本文档。与本文档相关的所有评论或问题应直接发送至CISA,电话:1-844-Say-CISA 或邮箱:contact@mail.cisa.dhs.gov
  • 我可以向CISA提交恶意软件吗? 恶意软件样本可以通过三种方式提交:
    1. 网页:https://www.cisa.gov/resources-tools/services/malware-next-generation-analysis
    2. 电子邮件:submit@malware.us-cert.gov

CISA鼓励您报告任何可疑活动,包括网络安全事件、可能的恶意代码、软件漏洞和网络钓鱼相关诈骗。报告表格可在CISA主页www.cisa.gov上找到。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次