首功！这只“老狐狸”又被我们抓住了

近日，微步在线工作人员在对某用户首次部署上线的OneEDR进行远程巡检时，发现告警。经过对系统中告警主机与风险主机研判分析，确认是老牌APT组织OldFox（“老狐狸”APT组织，微步在线发现并命名）发起的又一次网络攻击。

 在OneEDR控制台中，对用户数据中心内的5台CentOS主机发出了告警，其中：

• 2台主机存在OldFox组织的后门程序kworker；
• 1台主机存在名为“m.php”的Webshell程序；
• 2台存在恶意的pam_unix.so后门程序，其中一台还存在已知后门能执行系统命令的so模块mod_auth_pam.so。

在OneEDR控制台的告警信息，5台主机存在多种恶意攻击软件/程序

OneEDR控制台中定位到的恶意软件/程序信息

 经微步在线工作人员逆向分析：

• 位于“/usr/sbin”中的kworker程序会反弹外联到攻击者的poolntp.com域名；
• mod_auth_pam.so与httpd创建时间相同，是公开后门modrootme；
• pam_unix.so后门，会记录用户登录的sshd账号密码；
• 在某主机上的“/tmp/”目录下有可疑进程执行，且会删除自身；
• 名为“m.php”的恶意Webshell程序在2021年11月通过利用zabbix-web漏洞入侵而来。
• 

OneEDR控制台中显示“m.php”恶意程序的详细信息，从路径来看，其通过利用zabbix-web漏洞入侵

Webshell恶意程序被喻为是“Shell中的幽灵”，因为其入侵方式非常的灵活，并且隐蔽，同时在入侵之后，利用文件伪装、代码混淆等方式潜伏。传统Webshell静态检测通过规则进行匹配，检出率大约在90%左右，而APT组织所使用的Webshell恶意程序/代码通常具备更高的隐蔽性和混淆性，依赖规则的Webshell静态检测通常是很难发现的。

而OneEDR之所以能够成功检出APT组织的恶意Webshell程序/代码，首功当属Webshell检测引擎——这是OneEDR集成的12款自研检测引擎之一，也是首先应用了机器学习成果的引擎之一。利用微步在线过去数年间积累的百万级恶意样本进行机器学习训练后获得的成果，将其应用到Webshell引擎中，能够精准识别各种Webshell变种，让“幽灵”无所遁形。（关于OneEDR中的Webshell引擎，可详见《Shell中的幽灵？OneEDR用机器学习让Webshell无处遁形》）

OldFox组织所使用的的Webshell代码截图，使用了代码混淆等技术

经过详细排查，针对这一用户，微步在线提出了后续建议：

• 根据微步在线给出的行动建议方案进行木马处置；
• 检查其它曾经连接过恶意域名的服务器；
• 强制使用复杂密码，及时修改弱密码；
• 全量加固内网终端和服务器的安全防护和漏洞补丁，对于来源不明的软件或者文档，可上传到OneEDR服务端进行多引擎查杀和动态分析，避免漏报；
• 加强主机安全整体安全威胁态势监测，及时掌握威胁动态，并快速响应威胁事件。

关于OldFox团伙

OldFox 团伙，幕后为东南亚地区的博彩产业链从业人员，该团伙通常攻击手机行业相关厂商、以银行为代表的金融行业，以及国内媒体机构，以窃取企业内部敏感信息为主要目的，威胁程度较高。

OldFox团伙早在2018年前就开始活跃，在2018年定向攻击国内多家手机制造商（包括某国内前三手机制造商），以及多个应用下载平台。

在2019年，发动过多起针对国内媒体机构的定向攻击。