繞過 Junos OS Verified Exec（veriexec）子系統

• Veriexec 是一個核心檔案完整性檢查子系統，主要用於防止未經授權的程式碼。儘管 Mandiant 沒有發現在受支援的軟體和硬體上成功利用已知的 veriexec 繞過技術的證據，但威脅行為者 (Threat actor) 成功地在受感染的 EOL Juniper MX 路由器上部署了可執行後門，表明他們擁有 root 存取權。 為了繞過 veriexec 保護，UNC3886 採用了程序注入。該技術目前被編號為 CVE-2025-21590，涉及將惡意程式碼注入合法程序的記憶體，從而允許執行不受信任的程式碼，而無需禁用 veriexec 並可能觸發警報。
• 這個過程涉及威脅行為者使用合法認證 (Credentials) 透過終端伺服器取得對 Juniper 路由器的特權存取，並從 Junos OS CLI 存取 FreeBSD shell。在 shell 中，他們使用「此處文件」功能建立 Base64 編碼檔案 (ldb.b64)，然後對其進行解碼和解壓縮以提取惡意二進位檔案。雖然這些檔案的全部內容無法恢復，但 Mandiant 分析了受感染路由器的記憶體，並確定了三個 Malicious payload： loader.bin、 pc.bin 和 payload.bin（lmpad 後門的 PIC 版本）。
• 程序注入技術包括建立一個 Named pipe (null)、執行一個 hung cat 程序並從中讀取資料，然後使用 dd 命令將 Malicious payload寫入 cat 程序內的特定記憶體位置。透過使用 shellcode 載入器的入口點覆蓋 cat 程序中 fclose 函數的 Global offset table entry，fclose 的執行觸發了惡意程式碼，最終載入了最終的 Payload.bin。注入成功後，威脅行為者刪除了臨時檔案並終止 Session。據觀察，這種特定的注入技術專門用於 lmpad 後門的 PIC 版本，並且在啟用 veriexec 時不支援執行其他已識別的後門。

惡意軟體概述與分析

Mandiant 在多台 Juniper MX 路由器中發現了六個不同的惡意軟體樣本，都是 TINYSHELL 後門的修改版本。雖然每個都包含核心 TINYSHELL 功能，但它們的活化方法和 Junos OS 特定功能有所不同。已識別的惡意軟體樣本包括：

• appid：一個基於 TINYSHELL 的活動後門，模仿 appidd（應用程式識別守護程式）。它透過 TCP 與 Hardcode 的命令和控制 (C2) 伺服器 進行通信，這些伺服器被認為是 GOBRAT ORB 網路的暫存節點。網路流量採用 AES 加密。它支援用於檔案上傳、下載和遠端 shell 的標準 TINYSHELL 命令，以及用於設定 SOCKS 代理程式和更改設定（如 C2 IP 和連接埠）的客制命令。
• to：另一個基於 TINYSHELL 的活動後門，與 appid 相同，但具有一組不同的Hardcode C2 伺服器 。
• irad： 一個基於 TINYSHELL 的被動後門，模仿 irsd（介面複製和同步守護程式）。它作為一個使用 libpcap packet sniffer，由 ICMP 封包中的 Magic string 啟動。它支援主動（連接到 C2）和被動（監聽）模式，以及標準 TINYSHELL命令和客制命令 ，使用客制 AES 和 HMAC 實作進行加密通訊。
• lmpad： 一個基於 TINYSHELL的工具程式和被動後門，模仿 lmpd（連結管理協定守護程式）。其主要目的似乎是在實際威脅行為者活動之前和之後停用和復原日誌記錄。它可以透過操作 syslog.conf 檔案並向 eventd 守護程式發出訊號來執行外部 Script 來抑制日誌記錄，以及更新 snmpd 和 mgd 程序的記憶體以停止 SNMP 陷阱和 auditd 日誌記錄。它還支援標準 TINYSHELL命令和客制命令，用於啟動 CSH Session、請求睡眠和 Socket Time Value 、檔案上傳/下載以及備份/恢復 Juniper 設定資料庫。
• jdosd： 一個基於 TINYSHELL的被動後門，模仿 jddosd（Juniper DDOS 保護守護程序）。它透過固定連接埠上的 UDP 運行，提供檔案傳輸和遠端 shell 功能，並帶有包含錯誤的客制 RC4 實作。它由 Magic value 啟動並支援標準 TINYSHELL命令和退出命令。
• oemd： 基於 TINYSHELL的被動後門，模仿 oamd（操作、管理和維護守護程式）。它透過綁定到特定的網路介面（在環境變數中定義）來接收 C2 位址和通訊埠，並使用 AES 加密和 XOR 編碼透過 TCP 進行通訊。它支援標準 TINYSHELL命令，並在執行 shell 命令時清除 HISTFILE 環境變數。

所有已識別的樣本都會建立一個 AF_ROUTE Socket，該 Socket 被視為 Junos OS 特定的實現，用於與作業系統的路由子系統進行通訊以取得介面索引。

Linux 環境中的活動

Mandiant 也觀察到 UNC3886 在​​ Linux 環境中利用類似的 TTP 和相同的惡意軟體和工具程式。這包括使用 REPTILE 和 MEDUSA 等 rootkit 以及 SEAELF 載入程式和 BUSYBOX 進行命令執行和持久性。他們還部署了 PITHOOK 和客制 SSH 伺服器來劫持 SSH 身份驗證和捕獲認證，並用帶有後門的版本替換 TACACS + 守護程式二進位檔案以竊取認證。 GHOSTTOWN 惡意軟體用於反取證目的。值得注意的是，Mandiant 在調查期間並未觀察到資料中轉和洩漏的證據。

展望與建議

這項活動凸顯了間諜活動分子使用客製化惡意軟體持續攻擊網路基礎設施。向 ISP 路由器等內部網路基礎設施的轉變表明，有可能長期、高階存取關鍵路由基礎設施，從而對未來的破壞性行動構成風險。Mandiant 為組織機構減輕此類威脅提出了以下建議：

• 升級 Juniper 設備並執行安全檢查：升級至具有緩解措施和更新的 Juniper 惡意軟體清除工具 (JMRT) 簽署的最新軟體版本，並在升級後執行 JMRT。
• 安全身份驗證：為網路設備實施具有多因素身份驗證 (MFA) 和基於角色的存取控制 (RBAC) 的集中身分和存取管理 (IAM)。
• 設定管理：使用網路設定管理根據標準驗證設定並自動修復偏差或觸發警報。
• 加強監控：優先監控高風險的管理活動，並定期檢視檢測流程的有效性。
• 漏洞管理：優先更新和緩解網路設備中的漏洞。
• 備生命週期管理：實施網路設備主動監控、自動更新和 EOL 更換程序。
• 安全強化：透過嚴格的存取控制和網路分段來加強網路和管理設備的安全性。
• 威脅情報：主動使用威脅情報來改善針對新興威脅的安全控制。

入侵和偵測指標

• Google 威脅情報 IOC 集合可供註冊用戶使用。 Google Security Operations Enterprise+ 客戶已在其新興威脅規則包中收到了相關規則，並且部落格文章中列出的 IOC 可透過應用威脅情報進行優先排序。
• 這篇部落格文章還提供了基於主機的指標，包括檔案名稱、惡意軟體家族以及已識別的 TINYSHELL樣本的 MD5、 SHA1 和 SHA256 雜湊值。網路指標包括已識別的 TINYSHELL命令和控制伺服器及其各自的 IP 位址和連接埠清單。
• 為了檢測，Mandiant 為 SEAELF 安裝程式執行、GHOSTTOWN 工具程式執行和各種 REPTILE rootkit 活動提供了 YARA-L 規則。 YARA 規則用於搜尋封包加密層和通用 TINYSHELL後門活動。最後，共用 Snort/Suricata 規則來偵測與 TINYSHELL後門相關的特定網路流量模式，包括 jdosd 使用的 0xDEADBEEF Magic value 和 irad 使用的 Magic string。
• 路由設備被 UNC3886 等高級的攻擊者攻陷，構成了重大威脅。組織必須實施強有力的安全措施並積極監控其網路基礎設施以偵測和應對此類入侵。 Mandiant 建議可能受到影響的組織使用其客製化威脅搜尋服務來主動識別和緩解威脅。

結論

總而言之，發現間諜組織 UNC3886 在​​ 2024 年中期在 Juniper Networks 路由器上部署了基於 TINYSHELL 的客製化後門，凸顯了針對關鍵網路基礎設施的令人擔憂的趨勢。這些後門具有多種功能，包括被動功能、主動功能和日誌停用功能，展示了 UNC3886 對目標系統的深刻理解。他們的技術，例如透過程序注入來繞過報廢硬體上的 veriexec，以及停用日誌記錄和取證工件的努力，都強調了隱身性和長期持久性。這項活動表明 UNC3886 的策略正在不斷演變，其範圍已從網路邊緣設備擴展到 ISP 路由器等內部基礎設施。強烈建議各組織升級其 Juniper 設備，實施強大的身份驗證和監控，並採取主動的威脅情報措施來防禦此類複雜的威脅。路由設備的入侵意味著網路穩定性和安全面臨極大風險，需要各方採取一致行動予以保障。

參考資料