摘要

2023年，浪潮云威胁情报中心持续对境内的APT团伙进行追踪。发现包括代号为“OldFox”的团伙持久性攻击。由于该团伙隐匿在高纬度的安全对抗空间中，因此，我们称这种模式为“量子阴谋“。以下是我们对这次事件的跟踪，分析报告。

关键字：APT、高级持续性威胁、OldFox

一、概览

2023年某月浪潮云安全运营中心由蜜罐和风控系统组建的异常感知体系检测到高度疑似APT攻击的轻微内网横向攻击异常行为，威胁情报团队展开专项调查。经过对捕获工具及攻击手法的深度分析，提取IOC指纹，并结合APT情报库进行综合溯源，确认这是一起代号为“OldFox”团伙发起的针对某新闻媒体单位的APT攻击。

“OldFox”组织至少自2014 年起开始活跃于美国、中国香港等地，警惕性高，具备较强的反侦察意识。近年来已成功入侵多家国内报社媒体的企业内网，选择的攻击目标分布在报社媒体、手机厂商、政府、金融等行业，攻击时多为手工操作，并大量使用自行编译的开源攻击工具，隐蔽性强。该团伙会盗取设备登录凭据，获取失陷设备Root权限并留下多个后门。手法极其隐秘，具备很大威胁性，需要引起足够重视。

二、攻击分析溯源

2.1 攻击流程

团伙使用应用漏洞来进行入侵，然后在失陷主机上部署后门，潜伏一段时间，利用密码盗取工具收集登录密码后，伺机进行横向移动。整体攻击流程如下图所示：

图表 1 整体攻击流程

2.2 攻击工具分析

团伙使用工具分为三大类：持久控制类，命令执行类，密码盗取类。持久控制类包含两个工具：恶意Prism后门和恶意Nginx后门；命令执行类工具：PHP扩展后门；密码盗取工具：SSH后门。

2.2.1  持久控制类 - Prism 后门

团伙在被攻陷机器上植入二次开发后的Prism后门工具。主进程名是KThreadd。该工具启动时首先将自己伪装成系统内核进程"[KThreadd]"来伪装自己，随后每隔35秒创建一个自己的子进程，并且发起Reverse Shell链接，然后使用"/bin/sh" 替换子进程执行镜像，隐藏自己并形成反弹Shell。恶意代码结构如下：

图表 2 Prism 后门主逻辑

图表 3 Prism 后门反弹Shell逻辑

为完成任务持久化，团伙还会篡改/etc/init.d/下的系统服务公共脚本Functions。在其中添加下列内容：

图表 4 自启动脚本篡改内容

当服务器系统重启时，就会自动启动Prism后门，完成后门持久化。KThreadd程序本身除了伪装自己为内核进程外，并没有其他伪装，且子进程有异常外联行为。

2.2.2  持久控制类 - 恶意 Nginx 后门

团伙在攻击时，会优先筛选开通了Web服务的机器。具体原因是该团伙会使用第二个后门工具- 一个被植入了后门的恶意Nginx。此恶意程序会在接收到具有特殊Cookie的http请求后，根据Cookie包含的命令指令，执行不同的操作。

图表 8 恶意Nginx程序主逻辑

恶意Nginx会使用Worderx参数进行密码校验，当密码校验通过的时候则会根据typefp参数选择工作模式。模式分四种：远程shell、socket代理、反弹shell和命令执行模式。四个工作模式若没有校验通过则会和正常Nginx行为一样。

第一种工作模式会复用当前的http请求的socket句柄，转换成shell，形成交互式控制台：

图表 9 恶意Nginx工作模式一

第二种工作模式是socket代理模式。在这个模式下，经过简单的字符校验之后，会转发socket数据流到目标地址，形成socket代理。

图表 10 恶意Nginx工作模式二

第三种工作模式是反弹Shell。在该模式下，恶意Nginx会创建子进程发起反弹Shell。

图表 11 恶意Nginx工作模式三

第四种工作模式是命令执行模式，在这个模式下，会将指定命令执行结果，通过本次Http请求返回。

图表 12 恶意Nginx工作模式四

此版本Nginx基于开源Nginx进行修改，改动极小，具备正常Nginx程序的所有功能。当且仅当，在遇到特殊构造的Cookie后才能执行恶意行为。为防止一个点的密码泄漏导致的全部密码泄漏，恶意Nginx程序具有完全不同的密码。下图是攻击模式一的攻击效果：

图表 13 恶意Nginx攻击模式一效果

在所有模式中，由于其直接复用了当前http请求的tcp链接，因此可以复用https的TLS协议进行通讯加密。在网络应用层协议上体现出来的是本次http请求尚未结束，在常见的流量监测系统中会被标记成http链接超时，绕过监测手段。且由于链接的性质，在系统日志，access.log中均不会记录该请求，具有极强的隐蔽性。下图是攻击模式一的流量效果。

图表 14 恶意Nginx攻击模式一流量效果

在攻击过程中，团伙会在首次攻击完成后，修改www账号权限，获取root权限，进一步隐藏持久控制能力。

2.2.3  命令执行类 -  PHP扩展后门

团伙若发现服务器运行了PHP编写的Web服务，会尝试通过恶意的PHP扩展库植入后门。该后门接受特定的POST请求，若请求Body中包含指定参数，则会将对应的参数值传入System函数执行。

图表 18 PHP扩展恶意执行逻辑

后门使用了PHP语言官方的扩展机制，实现了一个恶意的请求初始化函数（RINIT)，在每个请求处理前都会调用一次该恶意函数，达到了类似WebShell的效果。由于该后门未实现命令执行结果回显，故通过请求httplog服务器来验证攻击效果，首先构造恶意请求，要求受控服务器通过curl访问httplog服务器：

图表 19 PHP扩展执行样例

httplog服务器接收到受控服务器发起的请求，且来源IP与受控服务器域名一致：

图表 20 PHP 扩展执行结果

该后门功能单一，但隐蔽性较强，推测为攻击团伙留下的后备后门，即使Nginx后门被发现并清理，仍然能够通过PHP扩展库后门进行持久化驻留，防止受控服务器权限丢失。

2.2.4  密码盗取类 -  SSH后门

团伙为了进行隐蔽的横向移动，扩大攻击面，修改SSH和SSHD模块的外部依赖库。这两个进程分别负责对外发起SSH请求和接受来自外部的SSH请求。修改过后的依赖库会在发起外联请求的时候，记录下使用的用户名和密码。

图表 24 SSH后门密码盗取逻辑

在排查取证过程中，发现了该文件记录的登录其他服务器的账号和密码。

图表 25 SSH后门密码盗取效果

2.3 攻击模式分析

团伙在攻陷目标后会根据失陷机器环境使用不同的攻击模式。

2.3.1  攻击模式一

攻击者完成入侵后首先会部署Prism后门，并通过修改/etc/init.d/function文件来实现Prism后门的持久化。然后本地编译恶意Nginx后门替换原始Nginx，以实现第二条后门控制路径。若目标服务器存在PHP，攻击者会修改nginx配置文件，并部署PHP扩展后门，作为第三条后门控制路径保底。完成后门控制方案部署后，攻击者还会替换本地SSH组件以部署密码窃取后门，为后续横向移动做准备。

2.3.1  攻击模式二

在没有Web服务器的设备上，团伙的攻击模式略有不同。由于没有可靠的隐藏条件，恶意Nginx后门和PHP扩展后门均不会部署。仅会部署Prism后门和密码窃取后门。

综上所述。“OldFox“组织的攻击模式中，外网突破手段主要是应用漏洞利用。然后根据有无Web服务选择两种不同的攻击模式进行驻留。最后在收集一段时间的密码后，结合内网漏洞和密码窃取进行横向攻击。

2.4 ATT&CK 技战法分析 

结合上述的攻击工具和攻击模式，总结出来该团伙对应的攻击技战术如下图所示：

图表 29 ATT&CK技战术谱系

具体使用的技术手法详情如下：

图表 30 ATT&CK技战术表

三、组织归因

通过对攻击团伙使用的攻击手法和恶意工具进行深入分析，我们发现以下几点重要线索：（1）经过对捕获的Prism后门、启动脚本和密码盗取工具工作逻辑的梳理，我们发现其与以往某组织使用的工具运行函数逻辑高度一致，并且编译模式也极为相似。（2）此外，在这些工具中的通讯模块完全符合某个组织独特的通信特征，这一发现为我们提供了重要的情报线索。（3）同时，我们还确认了这些网络基础设施确实属于某个特定组织。

将获得的信息整合后，我们得出结论：该攻击团伙即是APT组织OldFox。

图表 31 APT组织情报库

四、新增 IOC

在安全分析过程中发现了OldFox组织出现了新型的后门工具和密码盗取工具。我们将其总结如下：

图表 32 OldFox组织新增IOC

五、总结

OldFox组织常使用应用漏洞对目标进行外围打点，具有较高危险性。攻击对象是报社媒体单位，窃取敏感信息。相关行业及单位需要加强网络防御，排查应用漏洞及弱口令密码。从分析情况来看，该组织一直在改造其攻击组件，不断加强其控制和免杀能力，相关企业应该加强安全基础建设，提升监测能力。