量子阴谋——某 APT 组织的追踪报告

摘要

2023年，浪潮云威胁情报中心持续对境内的APT团伙进行追踪。发现包括代号为“OldFox”的团伙持久性攻击。由于该团伙隐匿在高纬度的安全对抗空间中，因此，我们称这种模式为“量子阴谋“。以下是我们对这次事件的跟踪，分析报告。

关键字：APT、高级持续性威胁、OldFox

一、概览

2023年某月浪潮云安全运营中心由蜜罐和风控系统组建的异常感知体系检测到高度疑似APT攻击的轻微内网横向攻击异常行为，威胁情报团队展开专项调查。经过对捕获工具及攻击手法的深度分析，提取IOC指纹，并结合APT情报库进行综合溯源，确认这是一起代号为“OldFox”团伙发起的针对某新闻媒体单位的APT攻击。

“OldFox”组织至少自2014 年起开始活跃于美国、中国香港等地，警惕性高，具备较强的反侦察意识。近年来已成功入侵多家国内报社媒体的企业内网，选择的攻击目标分布在报社媒体、手机厂商、政府、金融等行业，攻击时多为手工操作，并大量使用自行编译的开源攻击工具，隐蔽性强。该团伙会盗取设备登录凭据，获取失陷设备Root权限并留下多个后门。手法极其隐秘，具备很大威胁性，需要引起足够重视。

二、攻击分析溯源

2.1 攻击流程

团伙使用应用漏洞来进行入侵，然后在失陷主机上部署后门，潜伏一段时间，利用密码盗取工具收集登录密码后，伺机进行横向移动。整体攻击流程如下图所示：

图表 1 整体攻击流程

2.2 攻击工具分析

团伙使用工具分为三大类：持久控制类，命令执行类，密码盗取类。持久控制类包含两个工具：恶意Prism后门和恶意Nginx后门；命令执行类工具：PHP扩展后门；密码盗取工具：SSH后门。

2.2.1  持久控制类 – Prism 后门

团伙在被攻陷机器上植入二次开发后的Prism后门工具。主进程名是KThreadd。该工具启动时首先将自己伪装成系统内核进程”[KThreadd]”来伪装自己，随后每隔35秒创建一个自己的子进程，并且发起Reverse Shell链接，然后使用”/bin/sh” 替换子进程执行镜像，隐藏自己并形成反弹Shell。恶意代码结构如下：

图表 2 Prism 后门主逻辑

图表 3 Prism 后门反弹Shell逻辑

为完成任务持久化，团伙还会篡改/etc/init.d/下的系统服务公共脚本Functions。在其中添加下列内容：

图表 4 自启动脚本篡改内容

当服务器系统重启时，就会自动启动Prism后门，完成后门持久化。KThreadd程序本身除了伪装自己为内核进程外，并没有其他伪装，且子进程有异常外联行为。

2.2.2  持久控制类 – 恶意 Nginx 后门

团伙在攻击时，会优先筛选开通了Web服务的机器。具体原因是该团伙会使用第二个后门工具- 一个被植入了后门的恶意Nginx。此恶意程序会在接收到具有特殊Cookie的http请求后，根据Cookie包含的命令指令，执行不同的操作。

图表 8 恶意Nginx程序主逻辑

恶意Nginx会使用Worderx参数进行密码校验，当密码校验通过的时候则会根据typefp参数选择工作模式。模式分四种：远程shell、socket代理、反弹shell和命令执行模式。四个工作模式若没有校验通过则会和正常Nginx行为一样。

第一种工作模式会复用当前的http请求的socket句柄，转换成shell，形成交互式控制台：

图表 9 恶意Nginx工作模式一

第二种工作模式是socket代理模式。在这个模式下，经过简单的字符校验之后，会转发socket数据流到目标地址，形成socket代理。

图表 10 恶意Nginx工作模式二

第三种工作模式是反弹Shell。在该模式下，恶意Nginx会创建子进程发起反弹Shell。

图表 11 恶意Nginx工作模式三

第四种工作模式是命令执行模式，在这个模式下，会将指定命令执行结果，通过本次Http请求返回。

图表 12 恶意Nginx工作模式四

此版本Nginx基于开源Nginx进行修改，改动极小，具备正常Nginx程序的所有功能。当且仅当，在遇到特殊构造的Cookie后才能执行恶意行为。为防止一个点的密码泄漏导致的全部密码泄漏，恶意Nginx程序具有完全不同的密码。下图是攻击模式一的攻击效果：

图表 13 恶意Nginx攻击模式一效果

在所有模式中，由于其直接复用了当前http请求的tcp链接，因此可以复用https的TLS协议进行通讯加密。在网络应用层协议上体现出来的是本次http请求尚未结束，在常见的流量监测系统中会被标记成http链接超时，绕过监测手段。且由于链接的性质，在系统日志，access.log中均不会记录该请求，具有极强的隐蔽性。下图是攻击模式一的流量效果。

图表 14 恶意Nginx攻击模式一流量效果

在攻击过程中，团伙会在首次攻击完成后，修改www账号权限，获取root权限，进一步隐藏持久控制能力。

2.2.3  命令执行类 –  PHP扩展后门

团伙若发现服务器运行了PHP编写的Web服务，会尝试通过恶意的PHP扩展库植入后门。该后门接受特定的POST请求，若请求Body中包含指定参数，则会将对应的参数值传入System函数执行。

图表 18 PHP扩展恶意执行逻辑

后门使用了PHP语言官方的扩展机制，实现了一个恶意的请求初始化函数（RINIT)，在每个请求处理前都会调用一次该恶意函数，达到了类似WebShell的效果。由于该后门未实现命令执行结果回显，故通过请求httplog服务器来验证攻击效果，首先构造恶意请求，要求受控服务器通过curl访问httplog服务器：

图表 19 PHP扩展执行样例

httplog服务器接收到受控服务器发起的请求，且来源IP与受控服务器域名一致：

图表 20 PHP 扩展执行结果

该后门功能单一，但隐蔽性较强，推测为攻击团伙留下的后备后门，即使Nginx后门被发现并清理，仍然能够通过PHP扩展库后门进行持久化驻留，防止受控服务器权限丢失。

2.2.4  密码盗取类 –  SSH后门

团伙为了进行隐蔽的横向移动，扩大攻击面，修改SSH和SSHD模块的外部依赖库。这两个进程分别负责对外发起SSH请求和接受来自外部的SSH请求。修改过后的依赖库会在发起外联请求的时候，记录下使用的用户名和密码。

图表 24 SSH后门密码盗取逻辑

在排查取证过程中，发现了该文件记录的登录其他服务器的账号和密码。

图表 25 SSH后门密码盗取效果

2.3 攻击模式分析

团伙在攻陷目标后会根据失陷机器环境使用不同的攻击模式。

2.3.1  攻击模式一

攻击者完成入侵后首先会部署Prism后门，并通过修改/etc/init.d/function文件来实现Prism后门的持久化。然后本地编译恶意Nginx后门替换原始Nginx，以实现第二条后门控制路径。若目标服务器存在PHP，攻击者会修改nginx配置文件，并部署PHP扩展后门，作为第三条后门控制路径保底。完成后门控制方案部署后，攻击者还会替换本地SSH组件以部署密码窃取后门，为后续横向移动做准备。

2.3.1  攻击模式二

在没有Web服务器的设备上，团伙的攻击模式略有不同。由于没有可靠的隐藏条件，恶意Nginx后门和PHP扩展后门均不会部署。仅会部署Prism后门和密码窃取后门。

综上所述。“OldFox“组织的攻击模式中，外网突破手段主要是应用漏洞利用。然后根据有无Web服务选择两种不同的攻击模式进行驻留。最后在收集一段时间的密码后，结合内网漏洞和密码窃取进行横向攻击。

2.4 ATT&CK 技战法分析 

结合上述的攻击工具和攻击模式，总结出来该团伙对应的攻击技战术如下图所示：

图表 29 ATT&CK技战术谱系

具体使用的技术手法详情如下：

图表 30 ATT&CK技战术表

三、组织归因

通过对攻击团伙使用的攻击手法和恶意工具进行深入分析，我们发现以下几点重要线索：（1）经过对捕获的Prism后门、启动脚本和密码盗取工具工作逻辑的梳理，我们发现其与以往某组织使用的工具运行函数逻辑高度一致，并且编译模式也极为相似。（2）此外，在这些工具中的通讯模块完全符合某个组织独特的通信特征，这一发现为我们提供了重要的情报线索。（3）同时，我们还确认了这些网络基础设施确实属于某个特定组织。

将获得的信息整合后，我们得出结论：该攻击团伙即是APT组织OldFox。

图表 31 APT组织情报库

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

 “没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

 2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

 行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

 （都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。 

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

 最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取