通过Joe Sandbox Linux沙箱对VPNFilter的分析报告

Posted 嘶吼专业版

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了通过Joe Sandbox Linux沙箱对VPNFilter的分析报告相关的知识,希望对你有一定的参考价值。

随着越来越多的恶意软件将Linux操作系统作为攻击目标,Linux恶意软件正成为安全新闻头条的热门话题。在2018年,有超过110亿的嵌入式设备具有网络功能(Gartner),因此,以物联网(IoT)为目标的bot前景一片大好。而Mirai和VPNFilter只是最近的一些例子。

几个月来,我们一直在研究一种新产品,以分析针对Linux的恶意软件。近期,我们发布了Joe Sandbox Linux,这是一款恶意软件深层分析引擎,用于对抗Ubuntu和CentOS上存在的威胁。

通过在Linux上添加分析,Joe Sandbox是现在市面上唯一可利用的恶意软件分析系统,它可以分析Windows、MacOS、Linux、androidios上的恶意软件:

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告

本文将以最近发现的VPNFilter和一个货币挖掘恶意软件为例,介绍一下Joe Sandbox Linux的特性。

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告VPNFilter

VPNFilter是Cisco Talos最近发现的针对互联网路由器的恶意软件。根据Talos的说法,VPNFilter很可能是国家支持或与国家有关的用来收集情报的威胁。VPNFilter具有强大破坏性的payload(有效载荷),已经感染了54个国家超过50万台路由器。

与Windows系统上的现代恶意软件一样,VPNFilter也使用多个阶段进行感染:

阶段1

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告

在第1阶段中,VPNFilter主要通过创建cronjob使自己在设备关机重启之后不被清除。而Joe Sandbox Linux直接使用通用行为规则检测VPNFilter。在network选项卡中,它延伸到photobuched[.]com获取图片:

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告

阶段2

第二阶段恶意软件包含bot功能。这在详细输出中很容易发现:

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告

可以发送到VPNFilter的命令包括:exec、kill、seturl、download、reboot、proxy、port 和 tor。第二阶段恶意软件正在自我删除,因此在重新启动受感染设备后,VPNFilter将不复存在:

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告

阶段3

VPNFilter也可以加载插件或模块,例如通过Tor秘密通信:

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告

由Joe Sandbox Linux生成的分析报告可知,我们可以获取关于该威胁有价值的信息,包括payload、IOC以及攻击行为。

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告 货币挖掘

货币挖掘是一种恶意软件,它“绑架”受害者服务器的cpu来挖掘加密货币。特别是在Linux服务器中,劫持受害者服务器CPU进行加密货币挖掘非常常见。分析报告如下:

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告

分类信息清楚地显示该威胁是货币挖掘恶意软件。通过对杀毒软件的整合,所有的伪迹,如丢失的文件,都会被自动扫描:

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告

由于具有广泛的行为签名集,Joe Sandbox Linux可以在任何体系结构中检测到货币挖掘:

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告

行为图也是Joe Sandbox Desktop(在Windows上的分析)和Joe Sandbox X(在MacOS上的分析)的一部分,有助于充分理解安装行为:

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告

对于VPNFilter, Joe Sandbox Linux完整检测到了货币挖掘payload,并对恶意软件攻击行为提出了更多的见解。

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告 总结

就Joe Sandbox对攻击目标为Windows、MacOS、Linux、Android以及iOS恶意软件的分析能力来说,它是唯一一个能够对上述恶意软件进行分析并提供解决方案,并且可以为你的设备提供全面保护,免受当前恶意软件的威胁。随着Joe Sandbox Linux的引入,用户可以获得一个非常高级的分析工具,以检测针对路由器、IoT设备以及Linux服务器或工作站的高级威胁。

Joe Sandbox Linux已经完全整合到了Joe Sandbox Cloud Pro和Basic中,并且很快就可以作为本地产品使用。

(编辑注:本文内含部分报告,还请移步原文查看)

以上是关于通过Joe Sandbox Linux沙箱对VPNFilter的分析报告的主要内容,如果未能解决你的问题,请参考以下文章

对paypal沙箱的HTTPS请求失败

360sandbox是啥

pwn 之 沙箱机制

浅析智能合约中的沙箱(Sandbox)机制

sh [HDP沙箱启动]使用此脚本启动HDP沙箱#docker #hdp #sandbox

关于App Sandbox