曲速未來 消息:Outlaw組織僵尸網絡分析:區塊鏈
區塊鏈安全咨詢公司曲速未來消息:研究人員利用IoT蜜罐系統發現的該組織運營的一個僵尸網絡。攻擊bot使用haiduc工具來搜索網絡尋找攻擊目標。如果成功利用了一些漏洞,就在受害者主機上運行min.sh腳本。
區塊鏈安全咨詢公司 曲速未來 消息:研究人員之前曾分析過一個使用Internet Relay Chat (IRC) bot的名為Outlaw的僵尸網絡。本文分析研究人員利用IoT蜜罐系統發現的該組織運營的一個僵尸網絡。攻擊bot使用haiduc工具來搜索網絡尋找攻擊目標。如果成功利用了一些漏洞,就在受害者主機上運行min.sh腳本。
本文分析Outlaw攻擊活動的兩個變種。Bot主機第一個變種使用的腳本有兩個功能:挖礦機和基于Haiduc的dropper。挖礦部分的代碼有兩個form表單。其中一個是明文bash/perl腳本,另一個是混淆的Perl腳本變種,可以繞過基于內容檢測的IPS和防火墻的檢測。Bot主機傳播的第二個變種代碼是用來暴力破解和利用微軟Remote Desktop Protocol協議和云管理cPanel來進行權限提升的。
變種1
挖礦機會下載和執行Monero挖礦,使用的二進制文件可以運行在Linux和安卓系統上。挖礦機變種首先會檢查系統中是否運行著其他挖礦機。如果發現存在其他挖礦機,腳本就會殺掉其他挖礦機的進程,并開始運行自己的挖礦機。也就是說僵尸主機可以劫持來自其他不相關的僵尸網絡主機的挖礦活動。一些Mirai變種也有這樣的能力,但與這樣Mirai變種不同的是,僵尸主機不會修復受害者主機來預防之后的感染或重感染。
挖礦活動開始后,僵尸主機會檢查進程列表以確定挖礦機是否在運行。如果沒有運行,就從源地址再次下載惡意文件并重新開始挖礦進程,包括檢查其他挖礦機是否存在。進程允許攻擊者從別的攻擊者處竊取已有的被黑的挖礦機,并且用更新的挖礦機來重感染主機,這樣就可以在攻擊者的XMR錢包被劫持后繼續攻擊活動。
一旦挖礦活動建立后,挖礦機就可以通過被黑的網站報告給其屬主,被黑的站點保存有一個名字隨機生成的PHP腳本。
腳本的其他部分主要是僵尸繁殖,使用的是Outlaw組織之前使用過的haiduc工具。haiduc工具集變種被用來暴力破解運行SSH服務的有漏洞的主機。如果暴力破解成功,就運行傳播僵尸主機的命令。這是通過運行命令來安裝min.sh腳本來實現的。然后通過PHP腳本掃描不同的目標,通過郵件發送掃描結果到僵尸管理員,這也是通過硬編碼的PHP腳本實現的。與上次使用IRC構建僵尸網絡不同的是,這次僵尸是通過PHP來控制的。但是挖礦機文件、haiduc工具集都來自于同一組織。
感染的主機從URL hxxp://www[.]karaibe.us/.foo/min.sh下載惡意shell腳本。有趣的是,網頁源代碼中嵌入了一個Google分析腳本,這樣僵尸管理員就可以監控整個攻擊活動了。目前,該域名被解析為籃球聯賽排名的網站。這也是Outlaw組織的核心活動之一就是利用網站的PHP漏洞來獲取新的C2或內容分發服務器。
圖1. min.sh腳本
挖礦活動
腳本的第一個部分就是下載挖礦二進制文件和其他文件。攻擊者可以添加另一個服務器/域名到命令中來確保不會因為一個系統的下線導致攻擊被攔截。然后提取下載的文件,并將工作目錄移動到隱藏的.bin中。使用隱藏目錄可以使系統管理員難以發現運行的挖礦機。然后運行XMR挖礦二進制文件,轉發結果到/dev/null。
掃描活動
下一步工作目錄會被修改為/tmp。隱藏的.vd目錄文件會被移除來確保只有當前腳本運行。然后,下載、提取和裕興sslm.tgz。這個基于haiduc的掃描器位于C2服務器,可以使用PHP腳本生成目標。然后發送被黑主機的the introduction到另一個位于 hxxp://www[.]karaibe[.]us/[.]foo/remote/info[.]php的PHP腳本。
圖2. 到C2的POST請求
在發送introduction到C2后,會將工作目錄修改會/tmp并從受感影響的系統中移除感染腳本。
變種2
研究人員之前已經分析過haiduc工具集了,但這兩個haiduc變種有個之前沒有發現過的功能:測試獲取的目標系統是否運行RDP協議或cPanel。RDP用于Windows主機和服務器的遠程管理,cPanel是一款開源的云管理接口。如果在目標主機上發現任意一個服務,就保存并用于下一步的利用。
通過RDP協議掃描
在Shodan搜索發現網上有成百上千的開放RDP端口的服務器。一旦被黑,攻擊者可以獲取網絡上另一個子網的訪問權限,竊取敏感信息,監控個人,控制工業控制系統等等。
下圖中的腳本被是用來運行Perl腳本psc2的,即搜索RDP相關的開放端口。結果會反饋給一個工具rdp,rdp會獲取psc2提供的遠程主機地址并嘗試登陸。攻擊者會使用該腳本的變種來進行進一步的攻擊。
圖3. 運行Perl腳本 psc2 和rdp攻擊的變種1
第二個變種已經為基于PHP的C2控制做好了準備,其中參數中包含class文件。其中class文件的一個變種列出了已知的企業名稱,另一個變種列出了基于地理位置的IP地址class。該腳本首先運行基于perl的端口掃描器,其結果提供給drp工具,該工具是一個嵌入的wordlist,有3811行生成的憑證。
圖4. 運行perl腳本psc2和rdp工具的腳本的第二個變種
通過cPanel攻擊云
cPanel是一個有通用管理接口的云托管平臺。常被中小型企業用于管理私有云。對cPanel的攻擊會影響大量的用戶,因為攻擊者可以劫持整個含有敏感數據的云基礎設施。cPanel會公開云管理接口的登陸接口,而該接口位于企業的子域名上。攻擊者就是利用該習慣發起攻擊的。
與RDP類似,攻擊者會使用受害者列表而不是掃描整個網絡。每個主機都會被枚舉來確定是否有使用了非惡意腳本bing-ip2hosts的子域名。輸出的結果叫做bios會被反饋給暴力破解工具brute。
圖5. cPanel攻擊腳本
結論
區塊鏈安全咨詢公司 曲速未來 表示:黑客組織Outlaw的僵尸網絡正在不斷發展中,攻擊者使用PHP來實現C2的能力來克服IRC的一些缺點。該組織傾向于使用已有的黑客工具和haiduc工具,這些工具都會封裝到bash文件中的,所以普通用戶都可以運行這些工具。Haiduc這個工具本身就很可疑,因此會被低交互的蜜罐系統監控到。
Outlaw組織的目標應該是首先構建一個可以發起DDoS攻擊的基礎設備,然后使用暴力破解使用SSH服務的機器來擴大僵尸網絡的規模,最后通過加密貨幣挖礦來盈利。
本文內容由 曲速未來 (WarpFuture.com) 安全咨詢公司整理編譯,轉載請注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智能合約開發安全等相關區塊鏈安全咨詢服務。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
