欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Outlaw组织僵尸网络分析:加密货币挖矿、扫描、暴力破解

来源:本站整理 作者:佚名 时间:2018-12-03 TAG: 我要投稿

研究人员之前曾分析过一个使用Internet Relay Chat (IRC) bot的名为Outlaw的僵尸网络。本文分析研究人员利用IoT蜜罐系统发现的该组织运营的一个僵尸网络。攻击bot使用haiduc工具来搜索网络寻找攻击目标。如果成功利用了一些漏洞,就在受害者主机上运行min.sh脚本。
本文分析Outlaw攻击活动的两个变种。Bot主机第一个变种使用的脚本有两个功能:挖矿机和基于Haiduc的dropper。挖矿部分的代码有两个form表单。其中一个是明文bash/perl脚本,另一个是混淆的Perl脚本变种,可以绕过基于内容检测的IPS和防火墙的检测。Bot主机传播的第二个变种代码是用来暴力破解和利用微软Remote Desktop Protocol协议和云管理cPanel来进行权限提升的。
变种1
挖矿机会下载和执行Monero挖矿,使用的二进制文件可以运行在Linux和安卓系统上。挖矿机变种首先会检查系统中是否运行着其他挖矿机。如果发现存在其他挖矿机,脚本就会杀掉其他挖矿机的进程,并开始运行自己的挖矿机。也就是说僵尸主机可以劫持来自其他不相关的僵尸网络主机的挖矿活动。一些Mirai变种也有这样的能力,但与这样Mirai变种不同的是,僵尸主机不会修复受害者主机来预防之后的感染或重感染。
挖矿活动开始后,僵尸主机会检查进程列表以确定挖矿机是否在运行。如果没有运行,就从源地址再次下载恶意文件并重新开始挖矿进程,包括检查其他挖矿机是否存在。进程允许攻击者从别的攻击者处窃取已有的被黑的挖矿机,并且用更新的挖矿机来重感染主机,这样就可以在攻击者的XMR钱包被劫持后继续攻击活动。
一旦挖矿活动建立后,挖矿机就可以通过被黑的网站报告给其属主,被黑的站点保存有一个名字随机生成的PHP脚本。
脚本的其他部分主要是僵尸繁殖,使用的是Outlaw组织之前使用过的haiduc工具。haiduc工具集变种被用来暴力破解运行SSH服务的有漏洞的主机。如果暴力破解成功,就运行传播僵尸主机的命令。这是通过运行命令来安装min.sh脚本来实现的。然后通过PHP脚本扫描不同的目标,通过邮件发送扫描结果到僵尸管理员,这也是通过硬编码的PHP脚本实现的。与上次使用IRC构建僵尸网络不同的是,这次僵尸是通过PHP来控制的。但是挖矿机文件、haiduc工具集都来自于同一组织。
感染的主机从URL hxxp://www[.]karaibe.us/.foo/min.sh下载恶意shell脚本。有趣的是,网页源代码中嵌入了一个Google分析脚本,这样僵尸管理员就可以监控整个攻击活动了。目前,该域名被解析为篮球联赛排名的网站。这也是Outlaw组织的核心活动之一就是利用网站的PHP漏洞来获取新的C2或内容分发服务器。
感染脚本min.sh
 

图1. min.sh脚本
挖矿活动
脚本的第一个部分就是下载挖矿二进制文件和其他文件。攻击者可以添加另一个服务器/域名到命令中来确保不会因为一个系统的下线导致攻击被拦截。然后提取下载的文件,并将工作目录移动到隐藏的.bin中。使用隐藏目录可以使系统管理员难以发现运行的挖矿机。然后运行XMR挖矿二进制文件,转发结果到/dev/null。
扫描活动
下一步工作目录会被修改为/tmp。隐藏的.vd目录文件会被移除来确保只有当前脚本运行。然后,下载、提取和裕兴sslm.tgz。这个基于haiduc的扫描器位于C2服务器,可以使用PHP脚本生成目标。然后发送被黑主机的the introduction到另一个位于 hxxp://www[.]karaibe[.]us/[.]foo/remote/info[.]php的PHP脚本。

图2. 到C2的POST请求
在发送introduction到C2后,会将工作目录修改会/tmp并从受感影响的系统中移除感染脚本。
变种2
研究人员之前已经分析过haiduc工具集了,但这两个haiduc变种有个之前没有发现过的功能:测试获取的目标系统是否运行RDP协议或cPanel。RDP用于Windows主机和服务器的远程管理,cPanel是一款开源的云管理接口。如果在目标主机上发现任意一个服务,就保存并用于下一步的利用。
通过RDP协议扫描
在Shodan搜索发现网上有成百上千的开放RDP端口的服务器。一旦被黑,攻击者可以获取网络上另一个子网的访问权限,窃取敏感信息,监控个人,控制工业控制系统等等。
下图中的脚本被是用来运行Perl脚本psc2的,即搜索RDP相关的开放端口。结果会反馈给一个工具rdp,rdp会获取psc2提供的远程主机地址并尝试登陆。攻击者会使用该脚本的变种来进行进一步的攻击。
 

图3. 运行Perl脚本 psc2 和rdp攻击的变种1
第二个变种已经为基于PHP的C2控制做好了准备,其中参数中包含class文件。其中class文件的一个变种列出了已知的企业名称,另一个变种列出了基于地理位置的IP地址class。该脚本首先运行基于perl的端口扫描器,其结果提供给drp工具,该工具是一个嵌入的wordlist,有3811行生成的凭证。
 

图4. 运行perl脚本psc2和rdp工具的脚本的第二个变种
通过cPanel攻击云
cPanel是一个有通用管理接口的云托管平台。常被中小型企业用于管理私有云。对cPanel的攻击会影响大量的用户,因为攻击者可以劫持整个含有敏感数据的云基础设施。cPanel会公开云管理接口的登陆接口,而该接口位于企业的子域名上。攻击者就是利用该习惯发起攻击的。
与RDP类似,攻击者会使用受害者列表而不是扫描整个网络。每个主机都会被枚举来确定是否有使用了非恶意脚本bing-ip2hosts的子域名。输出的结果叫做bios会被反馈给暴力破解工具brute。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载