龙空技术网

黑客利用旧版 F5 BIG-IP 设备实现持久性

会杀毒的单反狗 11

前言:

目前姐妹们对“f5限制ip访问”大致比较关怀,你们都想要学习一些“f5限制ip访问”的相关内容。那么小编在网络上网罗了一些有关“f5限制ip访问””的相关知识,希望小伙伴们能喜欢,咱们快快来了解一下吧!

网络安全公司 Sygnia 报告称,APT组织被发现使用传统 F5 BIG-IP 设备持续访问受害者网络长达三年。

这个被称为“Velvet Ant (天鹅绒蚂蚁)”的APT组织使用了多种机制来确保在受害者网络中立足,并迅速从已解决的机制转向新的机制,并表现出逃避检测的适应性。

该网络安全公司指出:“攻击者在调查前至少两年就已渗透到该组织的网络,并成功站稳脚跟,掌握了对该网络的深入了解。”

研究人员发现,Velvet Ant 使用各种工具和技术来破坏关键系统并访问敏感数据,并在未受监控的系统中部署休眠持久机制,包括 PlugX 远程访问木马 (RAT)。

攻击链

在部署 PlugX 恶意软件之前,攻击者被发现使用了 DLL 搜索顺序劫持、DLL 侧加载和幻影 DLL 加载,以及篡改已安装的安全软件。

该黑客组织表现出了高度的操作安全(OPSEC)意识,并没有在未能禁用安全软件的工作站上安装恶意软件。

Velvet Ant 还使用开源工具 Impacket 在受感染的机器上进行横向工具传输和远程代码执行,并创建防火墙规则以允许连接到命令和控制 (C&C) 服务器。

从受害者网络中消除后,Sygnia 观察到它使用 PlugX 样本感染新机器,这些样本重新配置为使用内部服务器作为 C&C,并通过该服务器与恶意软件建立外部通信。

攻击者使用配置了外部 C&C 服务器的 PlugX 版本感染了可以访问互联网的系统,以窃取敏感信息,并使用没有 C&C 的恶意软件迭代感染了旧服务器。

Velvet Ant 通过两台运行过时、易受攻击的软件的 F5 BIG-IP 设备,使用反向 SSH 隧道连接来访问旧文件服务器。

Sygnia 指出:“受感染文件服务器上的 PlugX 实例被攻击者用作内部 C&C 服务器。黑客从该服务器开展侦察活动,利用 Impacket 的 WmiExec 将 PlugX 的其他实例部署到旧服务器上。”

受害者使用受感染的 F5 BIG-IP 设备提供防火墙、WAF、负载平衡和本地流量管理服务。这两款设备都直接暴露在互联网上,可能已通过利用已知漏洞遭到黑客攻击。

在其中一台被攻陷的 F5 设备上,攻击者部署了 VelvetSting(用于接收来自 C&C 的命令)、VelvetTap(用于捕获网络数据包)、Samrid(开源 Socks 代理隧道程序 EarthWorm)和 Esrde(具有与 VelvetSting 相同的功能)等工具。

技术报告全文:

新闻链接:

标签: #f5限制ip访问