欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

WatchBog新型变种分析

来源:本站整理 作者:佚名 时间:2019-08-12 TAG: 我要投稿

近日发现新版本的WatchBog:自2018年底开始运行的加密货币挖掘僵尸网络。自6月初开始已有超过4,500台Linux机器遭到破坏。在新的Linux漏洞利用中,该版本WatchBog实现了BlueKeep RDP协议漏洞扫描模块,这表明WatchBog正在记录所有有漏洞的系统ip,以便将来进行攻击或出售给第三方获取利润。
目前,所有安全厂商都未检测到恶意软件。
简介
Watchbog是一个加密货币挖掘僵尸网络,早在2018年11月就被发现。已知攻击组织正在利用已知的漏洞来攻击Linux服务器。阿里云安全部门过去曾对该组织进行过备案。
自上一次发表关于该组织分析报告以来,它已经通过一个新的扩展模块来增加其植入方式,以提高攻击服务器的覆盖率。我们检测到一个新版本watchbog,其中包含了最近发布的漏洞:JIRA的CVE-2019-11581(在漏洞发布后12天内增加)、exim的CVE-2019-10149和solr的CVE-2019-0192。
我们还发现新模块包含BlueKeep扫描器。CVE–2019-0708,是一个基于Windows的内核漏洞。该漏洞存在于Windows 2000到Windows Serv     er 2008和Windows 7的未修补Windows版本中。现还没有PoC可用于实现此漏洞的RCE,在野外也还没有发现任何攻击行为。该扫描器模块的合并表明,Watchbog正在为以后针对含有Bluekeep漏洞的系统攻击做准备。
此外,Jira、Solr和Bluekeep扫描仪模块均在13天内添加,Watchbog正在加速新功能的整合。
安全厂商目前未检测到新模块的二进制文件:

将此文件上载到intezer分析后,我们可以看到它与watchbog共享代码:

这一新的传播模块存在一个缺陷,它允许我们发起“中间人”攻击,以帮助我们分析二进制文件。
技术分析
watchbog在感染目标时运行初始部署脚本。该脚本通过crontab持久控制,并从Pastebin下载更多的Monero Miner模块。
该脚本末尾的部分如下:

根据watchbog脚本传统操作方式,脚本会从pastebin下载另一个base64编码的有效payload,然后执行:

然而,下载的不是另一个挖矿模块,它是新的传播模块。从快速视图中可以看到这是一个动态链接ELF可执行文件。分析后发现这实际上是一个Cython-compiled的可执行文件,需要进一步进行分析。

如关于Cython的文章所述:
“Cython是一个优化的静态编译器,它将您的.py模块转换为高性能的C文件。生成的C文件可以毫不费力地编译到二进制库中。编译完成后就无法将已编译的库反向转换为可读的Python源代码“。不过,编译后的二进制文件包含了一些对原始python模块的信息:

初始化
二进制文件会在/tmp/.gooobb处创建文件,在该文件中,它将其pid作为恶意软件执行的日志写入。当此文件存在时,后续启动传播模块都会失败。
然后二进制文件从Pastebin中检索其C2服务器:

.onion C2服务器地址以硬编码存储在二进制文件中,并用作后备。
我们可以根据对Pastebin链接的访问次数来估计受感染的受害者数量:

如上所示,大约有4,500个端点访问了Pastebin链接。 由于已知WatchBog在6月5日之前一直处于活动状态,其中一些机器可能点击了较旧的Pastebin链接受到感染。
二进制文件首先尝试连接到其中一个可用的静态C2服务器。我们观察到C2服务器的证书已过期。通常,HTTPS客户端会检查他们正在与之交互的SSL证书的验证。 然而,WatchBog的植入方式并非如此。 这导致WatchBog客户端在使用HTTPS时没有验证证书,否则它将拒绝与C2通信。
这个漏洞允许我们使用自己的证书设置HTTPS代理,并进行“中间人”攻击以分析WatchBog SSL / TLS流量:

然后,二进制文件为受感染的受害者生成唯一密钥,并在此密钥下向C2发送初始消息。 以下图片包含来自SSL / TLS解密流量的样本请求和响应有效payload:

对这些数据包通过编码混淆其内容。 在分析过程中,我们已经确定使用的编码算法。 以下脚本可以解码payload:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载