TH-239(UNC1945)组织为FireEye披露的利用第三方网络的访问来针对金融和专业咨询行业内的组织 ;

UNC1945针对Oracle Solaris操作系统，利用了针对Windows和Linux操作系统的多种工具和实用程序，加载并运行了自定义虚拟机，并采用了逃避检测的技术。UNC1945展示了对多种操作系统的攻击，工具和恶意软件的访问权限，对覆盖或操纵其活动的严格兴趣，并在交互操作过程中展示了高级技术能力。 

Technical Analysis

TH-239 武器库中最有趣的组件之一是分类为“ STEELCORGI”的ELF二进制文件。该工具以ELF的形式表示，其名称为以下md5：0845835e18a3ed4057498250d30a11b1 

在分析过程中，我们注意到该ELF远非可读性，我们提取了一系列元素来确认我们：

• 高文件尺寸（大于4MB）；
  文件尺寸高(大于4MB);
  混淆的字符串;
  缺少动态和(.dynsym)静态符号表(.symtab);
  缺乏分段集管作为反求工程技术;
  高熵值> 7.9
  使用dlopen和dlsym的运行时链接机制

(   数字解码例程的一部分  )

Swiss Army Knife

  这个恶意软件样本。它是一套用于侦察、横向移动、开采和开采后活动的完整工具。当启动工具集时，它会显示包含所有可能命令的完整菜单 

( 恶意软件工具帮助 )

我们注意到的最狡猾的命令之一是“bleach”，它能够删除所有btmp wtmp和btmp日志。btmp日志跟踪失败的登录尝试;wtmp提供utmp的历史数据，btmp提供用户登录、终端、注销、系统事件和系统当前状态、系统启动时间(由正常运行时间使用)等的完整画面。它还可以清除/var/log/syslog、/var/log/messages、/var/log/secure和/var/log/auth.log中的Syslog日志，或者任意使用默认的" -A "标志(utmp+wtmp+lastlog+ Syslog)来清除所有这些日志。

 clean (filters):  [-n <user>]    to filter by user    (can be set multiple times)
|                   [-t <tty>]     to filter by tty     (can be set multiple times)
|                   [-i <ip|host>] to filter by ip/host (can be set multiple times)
|                   [-p <pid>]     to filter by pid     (can be set multiple times)
|                   [-d <date>]    to filter by date    (can be set multiple times)
|                   [-g <str>]     to filter by string  (can be set multiple times

  这里我们总结了所有可用命令中最有趣的一个列表。 

sendmail [ sun4me | demo | unixcat | nc110 | netcat | netcat-ssl | telnet | traceroute | traceroute-tcp | traceroute-tcpfin | traceroute-udp | traceroute-icmp |
traceroute-all | sctpscan | sdporn | onesixtyone | snmpgrab | tftpd | ciscopush | ciscown | ciscomg | HEAD | GET | ssleak | rmiexec | pogo | pogo2 | elogic | 
Cmd | backfire | netbackup | netrider | sniff | bleach | nfsshell | mikrotik-client | sid-force | ssh-user | sshock | ssh | arpmap | ricochet | mac2vendor | 
ip2country | ipgen | ipsort | ipcalc | range2class | crunch | words.pl | passgen | passcheck | getpass | decrypt-cisco | decrypt-vnc | decrypt-cvs | wmon | 
pmon | lemon | pty | exec | nsexec | nsexec2 | setns | dumpkcore | dumpmem | pcregrep | xxd | strings | sstrip | shred | md5sum | sha1sum | sha256sum | 
compress | uncompress | encrypt | decrypt | uuencode | uudecode | base64 | whois | whob | resolv | ahost | adig | axfr | asrv | aspf | periscope | scanip.sh | 
aliveips.sh | brutus.pl | enum4linux.pl | snmpcheck.pl | = | _ | . | -? ] [options] [args] sendmail [ s4m | demo | ucat | nc110 | nc | ncs | tel | tr | trt | trf | tru | tri | 
tra | sctp | sd | sn | sg | tf | ccp | cco | ccg | HEAD | GET | ssleak | rmiexec | pogo | pogo2 | el | Cmd | bf | nb | nr | sni | clean | nfs | mikro | sid | sshu | ss | ssh | 
arp | rick | mac | ip2c | ipg | ips | ipc | r2c | crunch | words | lp | pcheck | gpass | dec-cisco | dec-vnc | dec-cvs | wmon | pmon | emon | pty | exec | nsexec | 
nsexec2 | setns | kcore | dmem | grep | xxd | str | strip | srm | md5 | sha1 | sha256 | comp | uncomp | enc | dec | uue | uud | b64 | whois | whob | res | host | 
dig | axfr | asrv | aspf | scope | scanip | aliveips | brutus | e4l | snmpcheck | = | _ | . | ? ] [options] [args]

  可用命令的数量令人印象深刻:一些是已知的系统实用程序，一些是攻击性脚本，其他的是已知的黑客工具，其他的神秘的，自定义命令。总之，我们注意到在这个单一的ELF二进制文件中至少嵌入了四类工具 :

  网络和枚举工具 :netcat, unixcat, netcat-ssl, telnet, traceroute, traceroute-tcp, traceroute-tcpfin, traceroute-udp, traceroute-icmp | traceroute-all, tftpd, HEAD, GET, sniff, nfsshell, ssh, ricochet, axfr, ,whois, scanip, sctpscan, sdporn, rmiexec, arpmap, whois, who, ahost, resolv, adig, axfr,  asrv,  aspf, periscope, scanip.sh, aliveips.sh, brutus.pl, enum4linux.pl, mikro, ss, sshu, onesixtyone, snmpgrab, snmpcheck, ciscopush, mikrotik-client. 

反取证工具:  bleach, clean.

系统工具 : md5, sha1, mac2vendor, xxd, cmd, netbackup, ip2country, ipgen, ipsort, ipcalc, range2class, crunch, words.pl, passgen, passcheck, getpass, wmon, pmon, pty, exec, nsexec, nsexec2, setns, dumpkcore, dumpmem, pcregrep, strings, sstrip, shred, md5sum, sha1sum, sha256sum, compress, uncompress, encrypt, decrypt, uuencode , uudecode, base64.

升级和漏洞利用工具 :  like ssleak, decrypt-vpn, pogo, pogo2, sid-force, sshock, decrypt-cisco, decrypt-vnc,  decrypt-cvs. 

SShock

  SShock是一种强制SSH登录的工具。事实上，可以指定一个用户列表(-u arg)和一个密码列表(-p arg)，如下图所示: 

  该工具的另一个有趣之处是(带有-E标志)可以指定要上传和执行的输入文件，然后将其删除。 

Lemon

  Lemon是一个非常强大的监控工具，它能够监控特定进程或用户的所有系统事件(fork, exec, exit, core等)。可以使用特定的开关(-p、-c、-u)过滤所有被监视的事件。工具的帮助菜单下面显示: 

Ssleak

  Ssleak是一个用于嗅探SSL通信的实用程序。可以指定一个目标，然后转储发送和发送的所有数据包，从而泄露一些信息，如服务器的证书、服务器的规范名称等。 

  此外，还可以利用“Heartbleed”漏洞(CVE-2014-0160)，使用伪长度的自定义伪造心跳包(带有-s开关)，并打印此类漏洞的hexdump 

Backfire

<pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"="">Backfire是一种用于建立和管理connect-back(或反向)外壳的工具。当由于一些原因无法直接访问目标计算机时，反向shell允许在受损主机(pivot)和目标计算机之间建立连接。例如在防火墙或NAT后的主机上执行维护任务。</pmicrosoft>

<pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"="">如下面的屏幕所示，backfire通过一个连接-back来执行这样的命令(-c命令)，这个连接可以使用-S标志或-S <commands>生成:</pmicrosoft></pmicrosoft></pmicrosoft>

<pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""> 
</pmicrosoft></pmicrosoft></pmicrosoft>

<pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""></pmicrosoft></pmicrosoft></pmicrosoft>

Ricochet

  Ricochet是一款强大的报文欺骗和FW ACL评估工具。该工具可以充当客户机或服务器。客户端允许伪造IP-PROTO/ICMP/UDP/TCP报文来测试fw的acl，而服务器则允许侦听来自防火墙的响应。有可能使用两种不同的方法。一个是spoof(方法#1)来欺骗数据包，另一个是rick(方法#2)，它代表“Ricochet”，也用来欺骗发送请求的地址和端口: 

• <pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"=""><pmicrosoft yahei',="" '\\5fae软雅黑',="" '\\5b8b体',="" 'malgun="" gothic',="" meiryo,="" sans-serif;="" font-style:="" normal;="" font-variant:="" font-weight:="" orphans:="" auto;="" text-align:="" start;="" text-indent:="" 0px;="" text-transform:="" none;="" white-space:="" widows:="" word-spacing:="" -webkit-text-stroke-width:="" background-color:="" rgb(247,="" 248,="" 250);"="">
  </pmicrosoft></pmicrosoft></pmicrosoft></pmicrosoft></pmicrosoft></pmicrosoft>