IoT

幽灵在行动:Specter分析报告

背景 2020年8月20日,360Netlab未知威胁检测系统捕获了一个通过漏洞传播可疑ELF文件(22523419f0404d628d02876e69458fbe.css),其独特的文件名,TLS网络流量以及VT杀软0检出的情况,引起了我们的兴趣。 经过分析,我们确定它是一个配置灵活,高度模块化/插件化,使用TLS,ChaCha20,Lz4加密压缩网络通信,针对AVTECH IP Camera / NVR / DVR 设备的恶意家族,我们捕获的ELF是Dropper,会释放出一个Loader,而Loader则会通过加密流量向C2请求各种Plugin以实现不同的功能。样本build路径为/build/arm-specter-linux-uclibcgnueabi,所以我们命名为Specter。 目前来看,Specter有很多不专业的地方,比如,它在释放Loader的同时也释放2个运行时所需要的库,但它们都是dynamically linked。又如下载的Plugin落在文件上再加载而不是在内存中直接展开加载。而且Dropper的传播是利用5年旧的老漏洞;但是在另外一方面,它
  • Alex.Turing
    Alex.Turing
  • Hui Wang
    Hui Wang
11 min read