J-Magic后门恶意软件的主要特点

J-Magic是一种新型的后门恶意软件，专门针对运行Juniper Network的Junos OS的企业VPN设备。该后门通过“魔法包”（magic packet）激活，并采取多种措施防止未授权访问和检测。

后门的工作机制

1. 被动代理：J-Magic的后门代理在设备内存中保持休眠状态，直到接收到隐藏于正常TCP流量中的“魔法包”。
2. 挑战机制：接收到魔法包后，后门会向发送方设备发送一个加密的挑战字符串，发送方必须使用对应的私钥解密并返回明文，以证明其拥有访问权限。
3. 内存驻留：J-Magic仅在内存中运行，这使得防御者更难检测到其存在。

魔法包的触发条件

J-Magic通过分析TCP流量中的特定数据包来触发，以下是五个触发条件：

1. 条件1：

   • TCP选项的偏移量0x02处显示两字节序列“1366”。
   • TCP选项至少为4字节。
   • 攻击者IP地址位于TCP头的“序列号”字段。
   • 目标端口号为443。

2. 条件2：

   • TCP头的源端口包含两字节序列“36429”。
   • 攻击者IP地址位于序列号字段。
   • 目标端口号为443。

3. 条件3：

   • IP和TCP头后的有效载荷数据以四字节字符串“Z4vE”开头。
   • 攻击者IP地址紧随四字节字符串“0x04”。
   • 攻击者端口号位于IP地址后的偏移量0x08处。

4. 条件4：

   • TCP头偏移量0x08处的选项字段以两字节序列“59020”开头。
   • TCP选项偏移量0xA处开始为攻击者IP地址。
   • 目标端口号为443。

5. 条件5：

   • TCP选项偏移量0x08处以两字节序列“59022”开头。
   • TCP选项偏移量0xA处开始为攻击者IP地址。
   • 攻击者端口号位于TCP选项偏移量0x0E处。

后门的进一步行为

一旦满足任一条件，J-Magic会生成一个反向shell，并创建一个子进程，重命名为[nfsiod 1]。随后，它会连接到从数据包中提取的IP和端口，并使用SSL加密通信。后门会生成一个随机字符串，使用硬编码的RSA公钥加密，并作为挑战发送给攻击者。如果攻击者返回的字符串与原始字符串匹配，后门将打开一个shell，允许攻击者在受感染设备上执行任意命令。

防御与检测的挑战

J-Magic的魔法包机制使得后门更具隐蔽性，因为它不需要打开特定端口来监听连接，从而避免了传统端口扫描的检测。此外，后门仅在内存中运行，进一步增加了检测难度。

相关背景

J-Magic是cd00r的一个变种，cd00r是一种最早发布于2000年的概念验证（PoC）后门，旨在测试“完全不可见”的后门服务器。类似的魔法包技术已被多个国家级威胁组织使用，包括俄罗斯的Turla和中国政府支持的黑客组织。

影响范围与时间线

Black Lotus Labs发现J-Magic在2023年中期至2024年中期活跃，影响了来自半导体、能源、制造和IT等多个行业的36个组织。此外，J-Magic的活动与2023年使用SeaSpy后门的攻击活动有重叠，两者都借鉴了cd00r的设计，并针对运行FreeBSD操作系统的设备。

总结

J-Magic是一种高度隐蔽的后门恶意软件，通过魔法包机制和内存驻留技术规避检测。其复杂的挑战机制和广泛的行业影响使其成为网络安全领域的一个重要威胁。