曲速未來 消息:Outlaw組織僵尸網(wǎng)絡(luò)分析:區(qū)塊鏈
區(qū)塊鏈安全咨詢公司曲速未來消息:研究人員利用IoT蜜罐系統(tǒng)發(fā)現(xiàn)的該組織運(yùn)營的一個(gè)僵尸網(wǎng)絡(luò)。攻擊bot使用haiduc工具來搜索網(wǎng)絡(luò)尋找攻擊目標(biāo)。如果成功利用了一些漏洞,就在受害者主機(jī)上運(yùn)行min.sh腳本。
區(qū)塊鏈安全咨詢公司 曲速未來 消息:研究人員之前曾分析過一個(gè)使用Internet Relay Chat (IRC) bot的名為Outlaw的僵尸網(wǎng)絡(luò)。本文分析研究人員利用IoT蜜罐系統(tǒng)發(fā)現(xiàn)的該組織運(yùn)營的一個(gè)僵尸網(wǎng)絡(luò)。攻擊bot使用haiduc工具來搜索網(wǎng)絡(luò)尋找攻擊目標(biāo)。如果成功利用了一些漏洞,就在受害者主機(jī)上運(yùn)行min.sh腳本。
本文分析Outlaw攻擊活動的兩個(gè)變種。Bot主機(jī)第一個(gè)變種使用的腳本有兩個(gè)功能:挖礦機(jī)和基于Haiduc的dropper。挖礦部分的代碼有兩個(gè)form表單。其中一個(gè)是明文bash/perl腳本,另一個(gè)是混淆的Perl腳本變種,可以繞過基于內(nèi)容檢測的IPS和防火墻的檢測。Bot主機(jī)傳播的第二個(gè)變種代碼是用來暴力破解和利用微軟Remote Desktop Protocol協(xié)議和云管理cPanel來進(jìn)行權(quán)限提升的。
變種1
挖礦機(jī)會下載和執(zhí)行Monero挖礦,使用的二進(jìn)制文件可以運(yùn)行在Linux和安卓系統(tǒng)上。挖礦機(jī)變種首先會檢查系統(tǒng)中是否運(yùn)行著其他挖礦機(jī)。如果發(fā)現(xiàn)存在其他挖礦機(jī),腳本就會殺掉其他挖礦機(jī)的進(jìn)程,并開始運(yùn)行自己的挖礦機(jī)。也就是說僵尸主機(jī)可以劫持來自其他不相關(guān)的僵尸網(wǎng)絡(luò)主機(jī)的挖礦活動。一些Mirai變種也有這樣的能力,但與這樣Mirai變種不同的是,僵尸主機(jī)不會修復(fù)受害者主機(jī)來預(yù)防之后的感染或重感染。
挖礦活動開始后,僵尸主機(jī)會檢查進(jìn)程列表以確定挖礦機(jī)是否在運(yùn)行。如果沒有運(yùn)行,就從源地址再次下載惡意文件并重新開始挖礦進(jìn)程,包括檢查其他挖礦機(jī)是否存在。進(jìn)程允許攻擊者從別的攻擊者處竊取已有的被黑的挖礦機(jī),并且用更新的挖礦機(jī)來重感染主機(jī),這樣就可以在攻擊者的XMR錢包被劫持后繼續(xù)攻擊活動。
一旦挖礦活動建立后,挖礦機(jī)就可以通過被黑的網(wǎng)站報(bào)告給其屬主,被黑的站點(diǎn)保存有一個(gè)名字隨機(jī)生成的PHP腳本。
腳本的其他部分主要是僵尸繁殖,使用的是Outlaw組織之前使用過的haiduc工具。haiduc工具集變種被用來暴力破解運(yùn)行SSH服務(wù)的有漏洞的主機(jī)。如果暴力破解成功,就運(yùn)行傳播僵尸主機(jī)的命令。這是通過運(yùn)行命令來安裝min.sh腳本來實(shí)現(xiàn)的。然后通過PHP腳本掃描不同的目標(biāo),通過郵件發(fā)送掃描結(jié)果到僵尸管理員,這也是通過硬編碼的PHP腳本實(shí)現(xiàn)的。與上次使用IRC構(gòu)建僵尸網(wǎng)絡(luò)不同的是,這次僵尸是通過PHP來控制的。但是挖礦機(jī)文件、haiduc工具集都來自于同一組織。
感染的主機(jī)從URL hxxp://www[.]karaibe.us/.foo/min.sh下載惡意shell腳本。有趣的是,網(wǎng)頁源代碼中嵌入了一個(gè)Google分析腳本,這樣僵尸管理員就可以監(jiān)控整個(gè)攻擊活動了。目前,該域名被解析為籃球聯(lián)賽排名的網(wǎng)站。這也是Outlaw組織的核心活動之一就是利用網(wǎng)站的PHP漏洞來獲取新的C2或內(nèi)容分發(fā)服務(wù)器。
圖1. min.sh腳本
挖礦活動
腳本的第一個(gè)部分就是下載挖礦二進(jìn)制文件和其他文件。攻擊者可以添加另一個(gè)服務(wù)器/域名到命令中來確保不會因?yàn)橐粋€(gè)系統(tǒng)的下線導(dǎo)致攻擊被攔截。然后提取下載的文件,并將工作目錄移動到隱藏的.bin中。使用隱藏目錄可以使系統(tǒng)管理員難以發(fā)現(xiàn)運(yùn)行的挖礦機(jī)。然后運(yùn)行XMR挖礦二進(jìn)制文件,轉(zhuǎn)發(fā)結(jié)果到/dev/null。
掃描活動
下一步工作目錄會被修改為/tmp。隱藏的.vd目錄文件會被移除來確保只有當(dāng)前腳本運(yùn)行。然后,下載、提取和裕興sslm.tgz。這個(gè)基于haiduc的掃描器位于C2服務(wù)器,可以使用PHP腳本生成目標(biāo)。然后發(fā)送被黑主機(jī)的the introduction到另一個(gè)位于 hxxp://www[.]karaibe[.]us/[.]foo/remote/info[.]php的PHP腳本。
圖2. 到C2的POST請求
在發(fā)送introduction到C2后,會將工作目錄修改會/tmp并從受感影響的系統(tǒng)中移除感染腳本。
變種2
研究人員之前已經(jīng)分析過haiduc工具集了,但這兩個(gè)haiduc變種有個(gè)之前沒有發(fā)現(xiàn)過的功能:測試獲取的目標(biāo)系統(tǒng)是否運(yùn)行RDP協(xié)議或cPanel。RDP用于Windows主機(jī)和服務(wù)器的遠(yuǎn)程管理,cPanel是一款開源的云管理接口。如果在目標(biāo)主機(jī)上發(fā)現(xiàn)任意一個(gè)服務(wù),就保存并用于下一步的利用。
通過RDP協(xié)議掃描
在Shodan搜索發(fā)現(xiàn)網(wǎng)上有成百上千的開放RDP端口的服務(wù)器。一旦被黑,攻擊者可以獲取網(wǎng)絡(luò)上另一個(gè)子網(wǎng)的訪問權(quán)限,竊取敏感信息,監(jiān)控個(gè)人,控制工業(yè)控制系統(tǒng)等等。
下圖中的腳本被是用來運(yùn)行Perl腳本psc2的,即搜索RDP相關(guān)的開放端口。結(jié)果會反饋給一個(gè)工具rdp,rdp會獲取psc2提供的遠(yuǎn)程主機(jī)地址并嘗試登陸。攻擊者會使用該腳本的變種來進(jìn)行進(jìn)一步的攻擊。
圖3. 運(yùn)行Perl腳本 psc2 和rdp攻擊的變種1
第二個(gè)變種已經(jīng)為基于PHP的C2控制做好了準(zhǔn)備,其中參數(shù)中包含class文件。其中class文件的一個(gè)變種列出了已知的企業(yè)名稱,另一個(gè)變種列出了基于地理位置的IP地址class。該腳本首先運(yùn)行基于perl的端口掃描器,其結(jié)果提供給drp工具,該工具是一個(gè)嵌入的wordlist,有3811行生成的憑證。
圖4. 運(yùn)行perl腳本psc2和rdp工具的腳本的第二個(gè)變種
通過cPanel攻擊云
cPanel是一個(gè)有通用管理接口的云托管平臺。常被中小型企業(yè)用于管理私有云。對cPanel的攻擊會影響大量的用戶,因?yàn)楣粽呖梢越俪终麄€(gè)含有敏感數(shù)據(jù)的云基礎(chǔ)設(shè)施。cPanel會公開云管理接口的登陸接口,而該接口位于企業(yè)的子域名上。攻擊者就是利用該習(xí)慣發(fā)起攻擊的。
與RDP類似,攻擊者會使用受害者列表而不是掃描整個(gè)網(wǎng)絡(luò)。每個(gè)主機(jī)都會被枚舉來確定是否有使用了非惡意腳本bing-ip2hosts的子域名。輸出的結(jié)果叫做bios會被反饋給暴力破解工具brute。
圖5. cPanel攻擊腳本
結(jié)論
區(qū)塊鏈安全咨詢公司 曲速未來 表示:黑客組織Outlaw的僵尸網(wǎng)絡(luò)正在不斷發(fā)展中,攻擊者使用PHP來實(shí)現(xiàn)C2的能力來克服IRC的一些缺點(diǎn)。該組織傾向于使用已有的黑客工具和haiduc工具,這些工具都會封裝到bash文件中的,所以普通用戶都可以運(yùn)行這些工具。Haiduc這個(gè)工具本身就很可疑,因此會被低交互的蜜罐系統(tǒng)監(jiān)控到。
Outlaw組織的目標(biāo)應(yīng)該是首先構(gòu)建一個(gè)可以發(fā)起DDoS攻擊的基礎(chǔ)設(shè)備,然后使用暴力破解使用SSH服務(wù)的機(jī)器來擴(kuò)大僵尸網(wǎng)絡(luò)的規(guī)模,最后通過加密貨幣挖礦來盈利。
本文內(nèi)容由 曲速未來 (WarpFuture.com) 安全咨詢公司整理編譯,轉(zhuǎn)載請注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發(fā)安全、智能合約開發(fā)安全等相關(guān)區(qū)塊鏈安全咨詢服務(wù)。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。