Volt Typhoon网络攻击技术深度分析:反向代理与端口扫描工具揭秘

美国CISA发布的Volt Typhoon攻击分析报告,详细解析了来自中国的国家级黑客组织使用的FRP反向代理工具、ScanLine端口扫描器等恶意软件的技术特征、网络通信机制和防御建议。

分析报告

MAR-10448362-1.v1 Volt Typhoon

发布日期 2024年2月7日
警报代码 AR24-038A

相关主题:国家威胁、网络威胁与咨询、事件检测响应与预防

通知

本报告按“原样”提供,仅用于信息目的。国土安全部(DHS)对此处包含的任何信息不作任何保证。DHS不认可本公告或其他方式中引用的任何商业产品或服务。

本文档标记为TLP:CLEAR——接收方可以无限制地共享此信息。根据公共发布的适用规则和程序,当信息具有最小或不可预见的滥用风险时,来源可以使用TLP:CLEAR。遵循标准版权规则,TLP:CLEAR信息可以无限制共享。

摘要

描述

CISA从被中华人民共和国(PRC)国家支持的网络组织Volt Typhoon入侵的关键基础设施中获取了三个文件进行分析。提交的文件支持发现和命令控制(C2):(1) 用于在被入侵系统和Volt Typhoon C2服务器之间建立反向代理的开源Fast Reverse Proxy Client(FRPC)工具;(2) 可用于暴露位于网络防火墙后或通过网络地址转换(NAT)隐藏的服务器的Fast Reverse Proxy(FRP);(3) 名为ScanLine的公开可用端口扫描器。

提交文件(3)

  • 99b80c5ac352081a64129772ed5e1543d94cad708ba2adc46dc4ab7a0bd563f1 (SMSvcService.exe)
  • eaef901b31b5835035b75302f94fee27288ce46971c6db6221ecbea9ba7ff9d0
  • edc0c63065e88ec96197c8d7a40662a15a812a9583dc6c82b18ecd7e43b13b70 (BrightmetricAgent.exe)

分析发现

edc0c63065e88ec96197c8d7a40662a15a812a9583dc6c82b18ecd7e43b13b70

标签:混淆、代理、木马、工具

详细信息

  • 名称:BrightmetricAgent.exe
  • 大小:2840064字节
  • 类型:PE32+可执行文件(控制台)x86-64
  • MD5:fd41134e8ead1c18ccad27c62a260aa6
  • SHA256:edc0c63065e88ec96197c8d7a40662a15a812a9583dc6c82b18ecd7e43b13b70

描述: 此工件是使用UPX打包的跨平台全功能FRP,采用GO语言(Golang)编写。该实用程序可用于定位网络防火墙后或通过NAT隐藏的服务器。它包含KCP网络协议,支持通过用户数据报协议(UDP)进行错误检查和匿名数据流传输,并提供数据包级加密支持。

该程序包含两个不同的多路复用器库,可以在NAT网络上双向流式传输数据。它还包含一个命令行界面(CLI)库,可以利用PowerShell、Windows管理规范(WMI)和Z Shell(zsh)等命令shell。此外,该实用程序具有独特的功能,可以检测实用程序是从命令行执行还是通过双击执行。

默认情况下,它配置为在传输控制协议(TCP)端口1080上连接到互联网协议(IP)地址。它必须从C2接收特殊格式的数据包才能在系统上部署。

eaef901b31b5835035b75302f94fee27288ce46971c6db6221ecbea9ba7ff9d0

标签:PUP、木马

详细信息

  • 名称:eaef901b31b5835035b75302f94fee27288ce46971c6db6221ecbea9ba7ff9d0
  • 大小:20480字节
  • 类型:PE32可执行文件(控制台)Intel 80386

描述: 此工件是来自Foundstone, Inc.的命令行端口扫描实用程序ScanLine,使用UPX打包。它用于扫描开放的UDP和TCP端口,从开放端口获取横幅,将IP地址解析为主机名,并绑定到指定端口和IP地址。

截图: 图1 - ScanLine实用程序的用法和语法

99b80c5ac352081a64129772ed5e1543d94cad708ba2adc46dc4ab7a0bd563f1

标签:混淆、代理、木马

详细信息

  • 名称:SMSvcService.exe
  • 大小:3712512字节
  • 类型:PE32+可执行文件(控制台)x86-64

描述: 此工件是使用UPX打包的64位Windows可执行文件。此打包文件包含在GitHub上发布的名为"FRPC"的开源工具的编译版本。“FRPC"是用Golang编写的命令行工具,旨在在被入侵系统和TA的C2服务器之间打开反向代理。

当"FRPC"在被入侵系统上安装并执行时,它尝试使用反向代理方法与Fast Reverse Proxy Server(FRPS)建立连接,以允许TA控制被入侵系统。此"FRPC"应用程序支持加密、压缩,并允许简单的令牌认证。它还支持以下协议:

支持协议

  • 传输控制协议(TCP)
  • 用户数据报协议(UDP)
  • 替代超文本传输协议(HTTP)
  • 替代超文本传输安全协议(HTTPS)

配置示例

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

[common]
server_addr = 192.168.18.111
server_port = 8081
token = 1kyRdFmuk0i25JbCJmtift1c9VA05VBS
protocol = tcp
tls_enable = true

[plugin_socks5]
type = tcp
remote_port = 1080
plugin = socks5
use_encryption = true
use_compression = true

防护建议

CISA建议用户和管理员考虑使用以下最佳实践来加强组织系统的安全态势:

  • 保持防病毒签名和引擎最新
  • 保持操作系统补丁最新
  • 禁用文件和打印机共享服务
  • 限制用户安装和运行不需要的软件应用程序的权限
  • 强制执行强密码策略并定期更改密码
  • 打开电子邮件附件时保持谨慎
  • 在机构工作站上启用个人防火墙
  • 禁用机构工作站和服务器上不必要的服务
  • 扫描并删除可疑的电子邮件附件
  • 监控用户的网页浏览习惯
  • 使用可移动媒体时保持谨慎
  • 在执行前扫描从互联网下载的所有软件
  • 保持对最新威胁的情境感知并实施适当的访问控制列表(ACL)

联系信息

  • 电话:1-844-Say-CISA
  • 邮箱:contact@mail.cisa.dhs.gov

文档FAQ

什么是MIFR? 恶意软件初步发现报告(MIFR)旨在及时向组织提供恶意软件分析。在大多数情况下,此报告将提供计算机和网络防御的初始指标。

什么是MAR? 恶意软件分析报告(MAR)旨在通过手动逆向工程向组织提供更详细的恶意软件分析。

可以提交恶意软件给CISA吗? 可以通过三种方法提交恶意软件样本:

  • 网站:https://www.cisa.gov/resources-tools/services/malware-next-generation-analysis
  • 邮箱:submit@malware.us-cert.gov
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次