MAR-25993211-r1.v1 Ivanti Connect Secure (RESURGE) | CISA

分析报告

发布日期：2025年3月28日
警报代码：AR25-087A

通知

本报告按"原样"提供，仅用于信息目的。国土安全部(DHS)对此处包含的任何信息不作任何形式的保证。DHS不认可本公告中或以其他方式引用的任何商业产品或服务。

本文档标记为TLP:CLEAR——接收方可以无限制地共享此信息。根据公共发布适用的规则和程序，当信息具有最小或不可预见的误用风险时，来源可以使用TLP:CLEAR。受标准版权规则约束，TLP:CLEAR信息可以无限制地共享。

摘要

描述

CISA分析了从关键基础设施的Ivanti Connect Secure设备获取的三个文件，这些文件是在威胁行为者利用Ivanti CVE-2025-0282获得初始访问后发现的。其中一个文件——CISA称之为RESURGE——在创建用于命令和控制(C2)的SSH隧道方面与SPAWNCHIMERA具有相似功能。RESURGE还包含一系列可以修改文件、操纵完整性检查并创建Web shell的命令，该Web shell被复制到运行的Ivanti启动磁盘。

第二个文件是SPAWNSLOTH的变体，包含在RESURGE样本中。该文件篡改Ivanti设备日志。第三个文件是自定义嵌入式二进制文件，包含开源shell脚本和开源工具BusyBox的子集小程序。开源shell脚本允许从受损内核映像中提取未压缩的内核映像(vmlinux)。BusyBox使威胁行为者能够在受感染设备上执行各种功能，如下载和执行有效负载。

提交的文件(2)

52bbc44eb451cb5e16bf98bc5b1823d2f47a18d71f14543b460395a1c1b1aeda (libdsupgrade.so)
b1221000f43734436ec8022caaa34b133f4581ca3ae8eccd8d57ea62573f301d (dsmain)

附加文件(1)

3526af9189533470bc0e90d54bafb0db7bda784be82a372ce112e361f7c7b104 (liblogblock.so)

发现

52bbc44eb451cb5e16bf98bc5b1823d2f47a18d71f14543b460395a1c1b1aeda

标签：后门、投放器、Rootkit

详细信息：

• 名称：libdsupgrade.so
• 大小：1414480字节
• 类型：ELF 32位LSB pie可执行文件，Intel 80386，版本1(SYSV)，动态链接
• MD5：cfb263a731d51ff489168bbca0d3bd2f
• SHA256：52bbc44eb451cb5e16bf98bc5b1823d2f47a18d71f14543b460395a1c1b1aeda

描述： 文件’libdsupgrade.so’是从Ivanti Connect Secure设备版本22.7.4.30859提取的恶意32位Linux共享对象文件。该文件具有rootkit、投放器、后门、bootkit、代理和隧道器的功能。

与SPAWNCHIMERA的相似之处如下：RESURGE检查文件是否由名为’web’或’dsmdm’的程序加载。如果调用’web’程序，它会挂钩accept和strncpy。它包含一个嵌入式私钥，经过异或(XOR)加密，因此威胁行为者(TA)可以使用其公钥连接。

如果调用’dsmdm’程序，它会为系统创建一个SSH安全shell线程。它不绑定到端口，而是绑定到名为’me/runtime/tmp/.logsrv’的文件并监听连接，为TA提供到系统的安全套接字shell。

RESURGE包含一系列命令，执行以下功能：

命令1：将自身插入’ld.so.preload’，在’compcheckresult.cgi’文件中设置用于远程命令执行的Web shell，伪造完整性检查，并对修改的文件生成密钥以签名清单文件，使其看起来合法。

命令2：解密、修改和重新加密coreboot RAM磁盘。

命令3：使用system()执行多个sed命令。这些命令通过搜索特定行并将其替换为新行来修改两个Python文件(‘scanner.py’和’scanner_legacy.py’)的内容，如果成功，将导致扫描脚本不再跟踪不匹配或新文件。

3526af9189533470bc0e90d54bafb0db7bda784be82a372ce112e361f7c7b104

标签：特洛伊木马

详细信息：

• 名称：liblogblock.so
• 大小：95092字节
• 类型：ELF 32位LSB共享对象
• SHA256：3526af9189533470bc0e90d54bafb0db7bda784be82a372ce112e361f7c7b104

描述： 文件’liblogblock.so’是一个32位Linux ELF二进制文件，被识别为SPAWNSLOTH恶意软件的变体，这是一个日志篡改实用程序。

如果程序名称是dslogserver，它会分离包含"g_do_syslog_servers_exist" IPC密钥的共享内存。接下来，它获取符号"_ZN5DSLog4File3addEPKci"的句柄并调用’funchook_create’。Funchook是一个开源工具，允许在运行时拦截和修改函数调用。

b1221000f43734436ec8022caaa34b133f4581ca3ae8eccd8d57ea62573f301d

标签：特洛伊木马

详细信息：

• 名称：dsmain
• 大小：5102976字节
• 类型：ELF 64位LSB可执行文件
• SHA256：b1221000f43734436ec8022caaa34b133f4581ca3ae8eccd8d57ea62573f301d

描述： 文件’dsmain’是一个64位Linux ELF，包含开源脚本’extract_vmlinux.sh’和开源工具’BusyBox’。

该文件接受三个参数(-e, -d, -g)。-e参数用于使用AES密钥加密文件。-d参数用于使用AES密钥解密文件。-g参数用于调用脚本’extract_vmlinux.sh’，该脚本被写入/tmp/extract_vmlinux.sh，用于从内核映像中提取未压缩的vmlinux。

BusyBox是一个开源项目工具，来自Unix实用程序的集合，广泛用于嵌入式设备和工业控制系统(ICS)。当TA访问运行BusyBox的设备时，TA可以执行一系列BusyBox命令来执行各种功能，例如在受感染设备上下载和执行恶意有效负载。

建议

CISA建议用户和管理员考虑使用以下最佳实践来加强其组织系统的安全状况：

• 保持最新的防病毒签名和引擎
• 保持操作系统补丁最新
• 禁用文件和打印机共享服务
• 限制用户安装和运行不需要的软件应用程序的权限
• 强制执行强密码策略并实施定期密码更改
• 在打开电子邮件附件时保持谨慎
• 在机构工作站上启用个人防火墙
• 禁用机构工作站和服务器上不必要的服务
• 扫描并删除可疑的电子邮件附件
• 监控用户的网页浏览习惯
• 使用可移动媒体时保持谨慎
• 在执行前扫描从Internet下载的所有软件
• 保持对最新威胁的情境意识并实施适当的访问控制列表(ACL)