文／羅正漢

近日臺灣學術網路上有一圖書館網站，被發現遭中國駭客組織 HUAPI 上傳後門程式 BiFrost，根據臺灣資安業者 TeamT5 調查，該網站系統使用 Tomcat Server，但存在 Ghostcat 漏洞（CVSSv3.1 為 9.8 分）未修補的情況。

[點此閱讀完整報導](https://www.ithome.com.tw/news/137074)

<br>


【iThome】Tomcat Server 存在 Ghostcat 漏洞，有中國駭客在臺灣校園網站上傳 BiFrost 後門程式

**關鍵字：HUAPI、PLEAD、GhostCat、CVE-2020-1938、Linux、BiFrost、RC4、RAT**

### 前言

TeamT5 近期接獲情資，於台灣某學術網路的圖書館網站上發現存有惡意程式。經過 TeamT5 研究員分析調查發現，該網站系統使用 Tomcat 7.0.73 作為網頁伺服器且開啟 8009 通訊埠，TeamT5 研究員驗證網站具有 Ghostcat（CVE-2020-1938） 漏洞，詳見下圖。

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1590715647/Huapi_1_693c241b07.png)
_圖一、Nmap 掃描結果_

駭客利用 Tomcat 網頁伺服器預設開啟的 AJP 服務（預設為 8009 通訊埠），可達到遠端指令執行（Remote Code Execution, RCE）之目的並上傳檔案。於該案例中，駭客疑似透過 Ghostcat 漏洞上傳 BiFrost 惡意程式，使該圖書館系統成為惡意程式下載站（Download Site）。

### 惡意程式分析

該惡意程式（8fd3925dadf37bebcc8844214f2bcd18）於 2020 年 1 月 31 日被上傳至 Virustotal 平台，當時的各家防毒軟體的偵測率並不佳，僅有 6 家防毒軟體能夠有效識別，詳見下圖。

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1590715649/Huapi_2_f22974775a.png)
_圖二、惡意程式於一月底上傳至 VirusTotal 且一開始防毒軟體的偵測率並不佳_

TeamT5 取得該惡意後門程式並進行分析，該惡意後門程式檔名為 md.png，但檔案格式為 UNIX ELF 執行檔，推測是利用 PNG 副檔名偽裝在 Tomcat 網站伺服器上，詳見下圖。

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1590715648/Huapi_3_c26aa8fc03.png)
_圖三、偽裝為 PNG 的 ELF 執行檔_

使用 TeamT5 的 ThreatSonar 惡意威脅鑑識系統可有效辨識出該惡意程式並可以偵測到中繼站 IP 位址（107.191.61.247），詳見下圖。

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1590715648/Huapi_4_60a6816101.png)
_圖四、ThreatSonar 偵測畫面_

經過逆向分析，該惡意後門程式具有上傳/下載/列舉/刪除/搬移檔案（File）、執行/結束程序（Process）、開啟/關閉遠端命令列介面程式（Remote Shell）等功能，其中惡意後門程式與中繼站的連線內容會使用修改過的 RC4 演算法進行加密，此專屬特徵可用來辯認出此惡意程式，詳見下圖。

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1590715648/Huapi_5_9291a10e8d.png)
_圖五、惡意後門程式使用修改後的 RC4 加密演算法_

### 攻擊族群分析

該惡意程式為 Linux 版本的 BiFrost 後門程式，其版本號為 5.0.0.0。根據 TeamT5 長期研究的情資顯示，該惡意程式為中國駭客組織 HUAPI（又名為 PLEAD）慣用的後門程式。HUAPI 駭客組織自 2007 年開始活躍至今，攻擊台灣超過 10 年的時間。TeamT5 觀察到 HUAPI 所開發的惡意程式有時會使用加殼來阻擋研究人員分析，且通常會使用修改後的 RC4 演算法來加密傳輸。HUAPI 長期攻擊政府、高科技、電信或研究智庫單位，根據 TeamT5 的統計結果，超過 5 成的受害單位為政府機關，受害國家包含台灣、美國、日本及南韓，其中針對台灣政府機關進行入侵攻擊的為多。

### 影響與建議

若用戶有使用 Tomcat 服務作為網頁伺服器，且版本為以下之一者：

* Apache Tomcat 9.x < 9.0.31
* Apache Tomcat 8.x < 8.5.51
* Apache Tomcat 7.x < 7.0.100
* Apache Tomcat 6.x

TeamT5 建議需要立即進行版本更新，避免遭到駭客利用 Ghostcat 漏洞進行遠端控制，甚至上傳惡意檔案。

另外，若用戶若遭遇針對性進階持續威脅（Advanced Persistent Threat, APT）時，則需要使用如 TeamT5 的 ThreatSonar 惡意威脅鑑識系統，IT 管理者可以在最短時間內偵測並回應這類的惡意威脅。TeamT5 建議可將下方威脅指標（Indicator of Compromise, IOC）匯入到各式資安設備中偵測與識別威脅。

* 107.191.61.247
* 8fd3925dadf37bebcc8844214f2bcd18
* Yara Rule

      rule RAT_BiFrost_UNIX
      {
          meta:
          description= "HUAPI UNIX BiFrost RAT"
          author = "TeamT5"
          date = "2020-04-15"
          
          strings:
          $hex1 = {25 ?? 00 00 00 85 C0 75 37 8B 45 F0 89 C1 03 4D 08 8B 45 F0 03 45 08 0F B6 10 8B 45 F8 01 C2 B8 FF FF FF FF 21 D0 88 01 8B 45 F0 89 C2 03 55 08 8B 45 F0 03 45 08 0F B6 00 32 45 FD 88 02}
          $hex2 = {8B 45 F0 03 45 08 0F B6 00 30 45 FD 8B 45 F0 89 C1 03 4D 08 8B 45 F8 89 C2 02 55 FD B8 FF FF FF FF 21 D0 88 01}
          
          condition:
          all of them
      }

### 外部參考資料

1. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938

中國駭客 HUAPI 的惡意後門程式 BiFrost 分析

**キーワード：HUAPI、PLEAD、GhostCat、CVE-2020-1938、Linux、BiFrost、RC4、RAT**

### はじめに

最近、TeamT5は台湾のある学術情報ネットワーク図書館のWebサイトでマルウェアが見つかったという情報を得ました。TeamT5の研究員は分析と調査により、同WebサイトのシステムがTomcat 7.0.73をWebサーバとして使用し、8009番ポートが開放されていることを発見しました。TeamT5の研究員は、WebサイトにGhostcat（CVE-2020-1938）の脆弱性があることを確認しました。詳細は下図のとおりです。

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1590715647/Huapi_1_693c241b07.png)
_図1、Nmapのスキャン結果_

ハッカーは、TomcatのWebサーバにてデフォルトで開放されているAJP（デフォルトは8009番ポート）を利用し、RCE（リモートコード実行, Remote Code Execution）によりファイルをアップロードしていました。このケースの場合、ハッカーは、Ghostcatの脆弱性を利用してマルウェアのBiFrostをアップロードし、図書館のシステムをマルウェアのダウンロードサイト（Download Site）にしていた疑いがあります。

### マルウェア解析

同マルウェア（8fd3925dadf37bebcc8844214f2bcd18）は、2020年1月31日にVirustotalにアップロードされました。当初、各アンチウイルスソフトウェアの検出率は良くなく、効果的に識別していたのは、6社のみでした。詳細は下図のとおりです。

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1590715649/Huapi_2_f22974775a.png)
_図2、1月末にマルウェアをVirusTotalにアップロードしたが、当初アンチウイルスソフトウェアの検出率は良くなかった。_

TeamT5が同バックドア型マルウェアを入手して解析したところ、同バックドア型マルウェアのファイル名は「md.png」だったものの、ファイル形式はUNIX ELFの実行ファイルとなっており、TomcatのWebサーバ上でPNGの拡張子を装っていたものと推測されました。詳細は下図のとおりです。

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1590715648/Huapi_3_c26aa8fc03.png)
_図3、PNGを装うELFの実行ファイル_

TeamT5の悪意のある脅威の識別システム「ThreatSonar」は、同マルウェアを効果的に識別し、C&CサーバのIPアドレス（107.191.61.247）を検出できます。詳細は下図のとおりです。

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1590715648/Huapi_4_60a6816101.png)
_図4、ThreatSonarの検出画面_

逆解析により、同バックドア型マルウェアには、ファイル（File）のアップロード/ダウンロード/列挙/削除/移動、プロセス（Process）の実行/終了、リモートシェル（Remote Shell）の実行/終了などの機能が備わっており、その内、バックドア型マルウェアとC&Cサーバの接続は変更されたRC4のアルゴリズムで暗号化していることがわかり、この独特な特徴からマルウェアとして識別することができました。詳細は下図のとおりです。

![](https://res.cloudinary.com/dvgomg5gh/image/upload/v1590715648/Huapi_5_9291a10e8d.png)
_図5、バックドア型マルウェアは変更されたRC4のアルゴリズムで暗号化している_

### 攻撃グループの分析

同マルウェアはLinuxバージョンのBiFrostバックドアで、バージョン番号は5.0.0.0です。TeamT5の長期にわたる研究により、同マルウェアは中国のハッカー組織HUAPI（別名PLEAD）がよく使うバックドアであることがわかりました。ハッカー組織のHUAPIは、2007年から活動を開始し、10年以上台湾に攻撃を仕掛けています。TeamT5は、HUAPIが開発したマルウェアについて、研究員の解析を防ぐためにパッキングされていることがあり、通常は変更されたRC4のアルゴリズムで暗号化して送信されることを確認しました。HUAPIは長期にわたり政府、ハイテク、電気通信、研究、シンクタンク機関を攻撃しており、TeamT5の統計では、被害者の50%以上が政府機関で、台湾、アメリカ、日本、韓国などが被害を受けており、多くの侵入や攻撃が台湾の政府機関を狙ったものであることが確認されました。

### 影響と提案

TomcatのWebサーバを使用しているユーザーで、バージョンが以下の場合：

* Apache Tomcat 9.x < 9.0.31
* Apache Tomcat 8.x < 8.5.51
* Apache Tomcat 7.x < 7.0.100
* Apache Tomcat 6.x

TeamT5は、Ghostcatの脆弱性を利用したハッカーによる遠隔操作および悪意のあるファイルのアップロードを防ぐため、今すぐバージョンアップすることをおすすめしています。

また、APT（Advanced Persistent Threat, 高度で持続的な脅威）に遭遇した場合は、TeamT5の悪意のある脅威の識別システム「ThreatSonar」などを使用する必要があり、それにより、IT管理者は最短時間で検出し、対応することができます。TeamT5は、以下のセキュリティ侵害インジケーター（Indicator of Compromise, IOC）を各情報セキュリティデバイスにインポートし、脅威を検出・識別することをおすすめしています。

* 107.191.61.247
* 8fd3925dadf37bebcc8844214f2bcd18
* Yara Rule

      rule RAT_BiFrost_UNIX
      {
          meta:
          description= "HUAPI UNIX BiFrost RAT"
          author = "TeamT5"
          date = "2020-04-15"
          
          strings:
          $hex1 = {25 ?? 00 00 00 85 C0 75 37 8B 45 F0 89 C1 03 4D 08 8B 45 F0 03 45 08 0F B6 10 8B 45 F8 01 C2 B8 FF FF FF FF 21 D0 88 01 8B 45 F0 89 C2 03 55 08 8B 45 F0 03 45 08 0F B6 00 32 45 FD 88 02}
          $hex2 = {8B 45 F0 03 45 08 0F B6 00 30 45 FD 8B 45 F0 89 C1 03 4D 08 8B 45 F8 89 C2 02 55 FD B8 FF FF FF FF 21 D0 88 01}
          
          condition:
          all of them
      }

### 参考文献

1. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938

【iThome】Tomcat Server 存在 Ghostcat 漏洞，有中國駭客在臺灣校園網站上傳 BiFrost 後門程式

Related Post

中國駭客 HUAPI 的惡意後門程式 BiFrost 分析