| | | |
| | | FontOnLake 可以收集 ssh 登录凭证。 |
| Exploit Public-Facing Application | |
| | Command and Scripting Interpreter:Unix Shell | 攻击者通过 wget 下载系统对应版本的FontOnLake。 |
| Command and Scripting Interpreter:Python | FontOnLake 可以运行 python 脚本。 |
| | FontOnLake 可以调用 fork() 运行定制化 ssh 服务。 |
| | FontOnLake 替换 cat 等标准工具为木马。 |
| | Boot or Logon Autostart Execution:Kernel Modules and Extensions | FontOnLake 的 rootkit 可以实现开机自启动。 |
| Boot or Logon Initialization Scripts | FontOnLake 创建系统启动脚本 ati_remote3.modules。 |
| Compromise Client Software Binary | |
| | Deobfuscate/Decode Files or | FontOnLake backdoors 通过 AES 加密 C&C 地址和通信。 |
| File and Directory Permissions Modification: Linux and Mac File andDirectory Permissions Modification | FontOnLake backdoor 可以修改文件权限。 |
| | FontOnLake 通过 rootkit 隐藏自身通信和进程。 |
| Hide Artifacts: Hidden Files and Directories | FontOnLake 通过 rootkit 隐藏文件。 |
| Obfuscated Files or Information | FontOnLake 使用 UPX 进行加壳保护。 |
| | FontOnLake 使用 rootkits 来隐藏自身的行为,如进程、文件、网络连接和驱动。 |
| | Modify Authentication Process | FontOnLake 修改 sshd 获取登录凭证。 |
| | File and Directory Discovery | FontOnLake backdoors 可以列出目录和文件。 |
| System Information Discovery | |
| | | FontOnLake 收集 ssh 登录凭证,可用于横向移动。攻击者使用 ssh_scan 进行内网 ssh 服务扫描。 |
| Exploitation of Remote Services | 攻击者使用 Ladon、fscan 对内网进行快速扫描。 |
| | | 攻击者使用 NATBypass 进行内网穿透和端口转发。 |
| Application Layer Protocol: Web | FontOnLake 通过 HTTP 获取额外 C&C 地址。 |
| Application Layer Protocol: File | FontOnLake 可以通过 FTP 下载 pyhton脚本。 |
| Data Encoding: Standard Encoding | FontOnLake 使用 base64 编码 HTTPS 响应。 |
| | FontOnLake 通过 HTTP 下载 C&C 服务器的 IP 和端口。 |
| Encrypted Channel: Symmetric | FontOnLake 使用 AES 加密与 C&C 服务器的通信。 |
| | FontOnLake 可以使用动态 DNS。rootkits 还会侦听特制数据包,这些数据包指示它下载并执行文件。 |
| Non-Application Layer Protocol | FontOnLake 通过 TCP 与 C&C 服务器通讯 |
| | |
| | Exfiltration Over C2 Channel | |