曲速未來 消息:Outlaw組織僵尸網(wǎng)絡分析:區(qū)塊鏈
區(qū)塊鏈安全咨詢公司曲速未來消息:研究人員利用IoT蜜罐系統(tǒng)發(fā)現(xiàn)的該組織運營的一個僵尸網(wǎng)絡。攻擊bot使用haiduc工具來搜索網(wǎng)絡尋找攻擊目標。如果成功利用了一些漏洞,就在受害者主機上運行min.sh腳本。
區(qū)塊鏈安全咨詢公司 曲速未來 消息:研究人員之前曾分析過一個使用Internet Relay Chat (IRC) bot的名為Outlaw的僵尸網(wǎng)絡。本文分析研究人員利用IoT蜜罐系統(tǒng)發(fā)現(xiàn)的該組織運營的一個僵尸網(wǎng)絡。攻擊bot使用haiduc工具來搜索網(wǎng)絡尋找攻擊目標。如果成功利用了一些漏洞,就在受害者主機上運行min.sh腳本。
本文分析Outlaw攻擊活動的兩個變種。Bot主機第一個變種使用的腳本有兩個功能:挖礦機和基于Haiduc的dropper。挖礦部分的代碼有兩個form表單。其中一個是明文bash/perl腳本,另一個是混淆的Perl腳本變種,可以繞過基于內(nèi)容檢測的IPS和防火墻的檢測。Bot主機傳播的第二個變種代碼是用來暴力破解和利用微軟Remote Desktop Protocol協(xié)議和云管理cPanel來進行權限提升的。
變種1
挖礦機會下載和執(zhí)行Monero挖礦,使用的二進制文件可以運行在Linux和安卓系統(tǒng)上。挖礦機變種首先會檢查系統(tǒng)中是否運行著其他挖礦機。如果發(fā)現(xiàn)存在其他挖礦機,腳本就會殺掉其他挖礦機的進程,并開始運行自己的挖礦機。也就是說僵尸主機可以劫持來自其他不相關的僵尸網(wǎng)絡主機的挖礦活動。一些Mirai變種也有這樣的能力,但與這樣Mirai變種不同的是,僵尸主機不會修復受害者主機來預防之后的感染或重感染。
挖礦活動開始后,僵尸主機會檢查進程列表以確定挖礦機是否在運行。如果沒有運行,就從源地址再次下載惡意文件并重新開始挖礦進程,包括檢查其他挖礦機是否存在。進程允許攻擊者從別的攻擊者處竊取已有的被黑的挖礦機,并且用更新的挖礦機來重感染主機,這樣就可以在攻擊者的XMR錢包被劫持后繼續(xù)攻擊活動。
一旦挖礦活動建立后,挖礦機就可以通過被黑的網(wǎng)站報告給其屬主,被黑的站點保存有一個名字隨機生成的PHP腳本。
腳本的其他部分主要是僵尸繁殖,使用的是Outlaw組織之前使用過的haiduc工具。haiduc工具集變種被用來暴力破解運行SSH服務的有漏洞的主機。如果暴力破解成功,就運行傳播僵尸主機的命令。這是通過運行命令來安裝min.sh腳本來實現(xiàn)的。然后通過PHP腳本掃描不同的目標,通過郵件發(fā)送掃描結果到僵尸管理員,這也是通過硬編碼的PHP腳本實現(xiàn)的。與上次使用IRC構建僵尸網(wǎng)絡不同的是,這次僵尸是通過PHP來控制的。但是挖礦機文件、haiduc工具集都來自于同一組織。
感染的主機從URL hxxp://www[.]karaibe.us/.foo/min.sh下載惡意shell腳本。有趣的是,網(wǎng)頁源代碼中嵌入了一個Google分析腳本,這樣僵尸管理員就可以監(jiān)控整個攻擊活動了。目前,該域名被解析為籃球聯(lián)賽排名的網(wǎng)站。這也是Outlaw組織的核心活動之一就是利用網(wǎng)站的PHP漏洞來獲取新的C2或內(nèi)容分發(fā)服務器。
圖1. min.sh腳本
挖礦活動
腳本的第一個部分就是下載挖礦二進制文件和其他文件。攻擊者可以添加另一個服務器/域名到命令中來確保不會因為一個系統(tǒng)的下線導致攻擊被攔截。然后提取下載的文件,并將工作目錄移動到隱藏的.bin中。使用隱藏目錄可以使系統(tǒng)管理員難以發(fā)現(xiàn)運行的挖礦機。然后運行XMR挖礦二進制文件,轉發(fā)結果到/dev/null。
掃描活動
下一步工作目錄會被修改為/tmp。隱藏的.vd目錄文件會被移除來確保只有當前腳本運行。然后,下載、提取和裕興sslm.tgz。這個基于haiduc的掃描器位于C2服務器,可以使用PHP腳本生成目標。然后發(fā)送被黑主機的the introduction到另一個位于 hxxp://www[.]karaibe[.]us/[.]foo/remote/info[.]php的PHP腳本。
圖2. 到C2的POST請求
在發(fā)送introduction到C2后,會將工作目錄修改會/tmp并從受感影響的系統(tǒng)中移除感染腳本。
變種2
研究人員之前已經(jīng)分析過haiduc工具集了,但這兩個haiduc變種有個之前沒有發(fā)現(xiàn)過的功能:測試獲取的目標系統(tǒng)是否運行RDP協(xié)議或cPanel。RDP用于Windows主機和服務器的遠程管理,cPanel是一款開源的云管理接口。如果在目標主機上發(fā)現(xiàn)任意一個服務,就保存并用于下一步的利用。
通過RDP協(xié)議掃描
在Shodan搜索發(fā)現(xiàn)網(wǎng)上有成百上千的開放RDP端口的服務器。一旦被黑,攻擊者可以獲取網(wǎng)絡上另一個子網(wǎng)的訪問權限,竊取敏感信息,監(jiān)控個人,控制工業(yè)控制系統(tǒng)等等。
下圖中的腳本被是用來運行Perl腳本psc2的,即搜索RDP相關的開放端口。結果會反饋給一個工具rdp,rdp會獲取psc2提供的遠程主機地址并嘗試登陸。攻擊者會使用該腳本的變種來進行進一步的攻擊。
圖3. 運行Perl腳本 psc2 和rdp攻擊的變種1
第二個變種已經(jīng)為基于PHP的C2控制做好了準備,其中參數(shù)中包含class文件。其中class文件的一個變種列出了已知的企業(yè)名稱,另一個變種列出了基于地理位置的IP地址class。該腳本首先運行基于perl的端口掃描器,其結果提供給drp工具,該工具是一個嵌入的wordlist,有3811行生成的憑證。
圖4. 運行perl腳本psc2和rdp工具的腳本的第二個變種
通過cPanel攻擊云
cPanel是一個有通用管理接口的云托管平臺。常被中小型企業(yè)用于管理私有云。對cPanel的攻擊會影響大量的用戶,因為攻擊者可以劫持整個含有敏感數(shù)據(jù)的云基礎設施。cPanel會公開云管理接口的登陸接口,而該接口位于企業(yè)的子域名上。攻擊者就是利用該習慣發(fā)起攻擊的。
與RDP類似,攻擊者會使用受害者列表而不是掃描整個網(wǎng)絡。每個主機都會被枚舉來確定是否有使用了非惡意腳本bing-ip2hosts的子域名。輸出的結果叫做bios會被反饋給暴力破解工具brute。
圖5. cPanel攻擊腳本
結論
區(qū)塊鏈安全咨詢公司 曲速未來 表示:黑客組織Outlaw的僵尸網(wǎng)絡正在不斷發(fā)展中,攻擊者使用PHP來實現(xiàn)C2的能力來克服IRC的一些缺點。該組織傾向于使用已有的黑客工具和haiduc工具,這些工具都會封裝到bash文件中的,所以普通用戶都可以運行這些工具。Haiduc這個工具本身就很可疑,因此會被低交互的蜜罐系統(tǒng)監(jiān)控到。
Outlaw組織的目標應該是首先構建一個可以發(fā)起DDoS攻擊的基礎設備,然后使用暴力破解使用SSH服務的機器來擴大僵尸網(wǎng)絡的規(guī)模,最后通過加密貨幣挖礦來盈利。
本文內(nèi)容由 曲速未來 (WarpFuture.com) 安全咨詢公司整理編譯,轉載請注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發(fā)安全、智能合約開發(fā)安全等相關區(qū)塊鏈安全咨詢服務。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉載時務必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或將追究責任;
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補充。
