Northwave 网络安全公司发现了一个针对 Palo Alto Networks 防火墙的复杂后门 LITTLELAMB.WOOLTEA。
该后门是在对一台被入侵的 Palo Alto Networks 设备进行取证调查时发现的。攻击者利用了 CVE-2024-9474,这是一个在攻击前刚刚公开披露的漏洞。威胁者利用这个入口点部署了一个名为 bwmupdate 的恶意脚本,安装了后门。Northwave 指出:“然后使用 execve() 执行该后门,用恶意进程完全取代任何正在运行的合法 logd 进程。”
LITTLELAMB.WOOLTEA 在运行中体现了隐蔽性。它将自己伪装成合法的 logd 服务,并通过修改 rc.local 文件和更改 RedHat 软件包管理器的配置来确保其在系统升级后仍能继续运行。
此外,后门还向nginx进程注入了一个动态链接库,劫持了accept()函数。这样,攻击者就可以使用 48 字节的 “魔法敲击 ”来建立隐蔽通信,而无需打开单独的端口。相反,它使用现有的开放端口,使检测变得更加困难。
后门的功能包括:
- 读写目标系统上的文件。
- 为远程命令执行提供 shell 访问。
- 建立单端口或多端口网络隧道,实现与其他被入侵节点的安全通信渠道。
- 为秘密数据传输设置 SOCKS5 代理。
Northwave 解释说:“后门支持在 shell 中运行命令。stdout 或 stderr 的输出会转发给用户…… ”确保对被入侵设备的强大控制。
该后门程序实现了高度通用的通信协议。它使用唯一标识符将操作员连接与节点间通信区分开来,从而在受感染设备网络中实现分级命令和控制。
LITTLELAMB.WOOLTEA 的复杂性表明是一个民族国家行为者所为,但其归属仍未得到证实。Northwave 指出:“在漏洞细节公开后不久,一名疑似民族国家威胁行为者通过 CVE2024-9474 进入了 Palo Alto 网络设备。”
发表评论
您还未登录,请先登录。
登录