區(qū)塊鏈安全咨詢公司 曲速未來 消息：研究人員之前曾分析過一個使用Internet Relay Chat (IRC) bot的名為Outlaw的僵尸網(wǎng)絡(luò)。本文分析研究人員利用IoT蜜罐系統(tǒng)發(fā)現(xiàn)的該組織運營的一個僵尸網(wǎng)絡(luò)。攻擊bot使用haiduc工具來搜索網(wǎng)絡(luò)尋找攻擊目標(biāo)。如果成功利用了一些漏洞，就在受害者主機上運行min.sh腳本。

本文分析Outlaw攻擊活動的兩個變種。Bot主機第一個變種使用的腳本有兩個功能：挖礦機和基于Haiduc的dropper。挖礦部分的代碼有兩個form表單。其中一個是明文bash/perl腳本，另一個是混淆的Perl腳本變種，可以繞過基于內(nèi)容檢測的IPS和防火墻的檢測。Bot主機傳播的第二個變種代碼是用來暴力破解和利用微軟Remote Desktop Protocol協(xié)議和云管理cPanel來進行權(quán)限提升的。

變種1

挖礦機會下載和執(zhí)行Monero挖礦，使用的二進制文件可以運行在Linux和安卓系統(tǒng)上。挖礦機變種首先會檢查系統(tǒng)中是否運行著其他挖礦機。如果發(fā)現(xiàn)存在其他挖礦機，腳本就會殺掉其他挖礦機的進程，并開始運行自己的挖礦機。也就是說僵尸主機可以劫持來自其他不相關(guān)的僵尸網(wǎng)絡(luò)主機的挖礦活動。一些Mirai變種也有這樣的能力，但與這樣Mirai變種不同的是，僵尸主機不會修復(fù)受害者主機來預(yù)防之后的感染或重感染。

挖礦活動開始后，僵尸主機會檢查進程列表以確定挖礦機是否在運行。如果沒有運行，就從源地址再次下載惡意文件并重新開始挖礦進程，包括檢查其他挖礦機是否存在。進程允許攻擊者從別的攻擊者處竊取已有的被黑的挖礦機，并且用更新的挖礦機來重感染主機，這樣就可以在攻擊者的XMR錢包被劫持后繼續(xù)攻擊活動。

一旦挖礦活動建立后，挖礦機就可以通過被黑的網(wǎng)站報告給其屬主，被黑的站點保存有一個名字隨機生成的PHP腳本。

腳本的其他部分主要是僵尸繁殖，使用的是Outlaw組織之前使用過的haiduc工具。haiduc工具集變種被用來暴力破解運行SSH服務(wù)的有漏洞的主機。如果暴力破解成功，就運行傳播僵尸主機的命令。這是通過運行命令來安裝min.sh腳本來實現(xiàn)的。然后通過PHP腳本掃描不同的目標(biāo)，通過郵件發(fā)送掃描結(jié)果到僵尸管理員，這也是通過硬編碼的PHP腳本實現(xiàn)的。與上次使用IRC構(gòu)建僵尸網(wǎng)絡(luò)不同的是，這次僵尸是通過PHP來控制的。但是挖礦機文件、haiduc工具集都來自于同一組織。

感染的主機從URL hxxp://www[.]karaibe.us/.foo/min.sh下載惡意shell腳本。有趣的是，網(wǎng)頁源代碼中嵌入了一個Google分析腳本，這樣僵尸管理員就可以監(jiān)控整個攻擊活動了。目前，該域名被解析為籃球聯(lián)賽排名的網(wǎng)站。這也是Outlaw組織的核心活動之一就是利用網(wǎng)站的PHP漏洞來獲取新的C2或內(nèi)容分發(fā)服務(wù)器。

圖1. min.sh腳本

挖礦活動

腳本的第一個部分就是下載挖礦二進制文件和其他文件。攻擊者可以添加另一個服務(wù)器/域名到命令中來確保不會因為一個系統(tǒng)的下線導(dǎo)致攻擊被攔截。然后提取下載的文件，并將工作目錄移動到隱藏的.bin中。使用隱藏目錄可以使系統(tǒng)管理員難以發(fā)現(xiàn)運行的挖礦機。然后運行XMR挖礦二進制文件，轉(zhuǎn)發(fā)結(jié)果到/dev/null。

掃描活動

下一步工作目錄會被修改為/tmp。隱藏的.vd目錄文件會被移除來確保只有當(dāng)前腳本運行。然后，下載、提取和裕興sslm.tgz。這個基于haiduc的掃描器位于C2服務(wù)器，可以使用PHP腳本生成目標(biāo)。然后發(fā)送被黑主機的the introduction到另一個位于 hxxp://www[.]karaibe[.]us/[.]foo/remote/info[.]php的PHP腳本。

圖2. 到C2的POST請求

在發(fā)送introduction到C2后，會將工作目錄修改會/tmp并從受感影響的系統(tǒng)中移除感染腳本。

變種2

研究人員之前已經(jīng)分析過haiduc工具集了，但這兩個haiduc變種有個之前沒有發(fā)現(xiàn)過的功能：測試獲取的目標(biāo)系統(tǒng)是否運行RDP協(xié)議或cPanel。RDP用于Windows主機和服務(wù)器的遠程管理，cPanel是一款開源的云管理接口。如果在目標(biāo)主機上發(fā)現(xiàn)任意一個服務(wù)，就保存并用于下一步的利用。

通過RDP協(xié)議掃描

在Shodan搜索發(fā)現(xiàn)網(wǎng)上有成百上千的開放RDP端口的服務(wù)器。一旦被黑，攻擊者可以獲取網(wǎng)絡(luò)上另一個子網(wǎng)的訪問權(quán)限，竊取敏感信息，監(jiān)控個人，控制工業(yè)控制系統(tǒng)等等。

下圖中的腳本被是用來運行Perl腳本psc2的，即搜索RDP相關(guān)的開放端口。結(jié)果會反饋給一個工具rdp，rdp會獲取psc2提供的遠程主機地址并嘗試登陸。攻擊者會使用該腳本的變種來進行進一步的攻擊。

圖3. 運行Perl腳本 psc2 和rdp攻擊的變種1

第二個變種已經(jīng)為基于PHP的C2控制做好了準(zhǔn)備，其中參數(shù)中包含class文件。其中class文件的一個變種列出了已知的企業(yè)名稱，另一個變種列出了基于地理位置的IP地址class。該腳本首先運行基于perl的端口掃描器，其結(jié)果提供給drp工具，該工具是一個嵌入的wordlist，有3811行生成的憑證。

圖4. 運行perl腳本psc2和rdp工具的腳本的第二個變種

通過cPanel攻擊云

cPanel是一個有通用管理接口的云托管平臺。常被中小型企業(yè)用于管理私有云。對cPanel的攻擊會影響大量的用戶，因為攻擊者可以劫持整個含有敏感數(shù)據(jù)的云基礎(chǔ)設(shè)施。cPanel會公開云管理接口的登陸接口，而該接口位于企業(yè)的子域名上。攻擊者就是利用該習(xí)慣發(fā)起攻擊的。

與RDP類似，攻擊者會使用受害者列表而不是掃描整個網(wǎng)絡(luò)。每個主機都會被枚舉來確定是否有使用了非惡意腳本bing-ip2hosts的子域名。輸出的結(jié)果叫做bios會被反饋給暴力破解工具brute。

圖5. cPanel攻擊腳本

結(jié)論

區(qū)塊鏈安全咨詢公司 曲速未來 表示：黑客組織Outlaw的僵尸網(wǎng)絡(luò)正在不斷發(fā)展中，攻擊者使用PHP來實現(xiàn)C2的能力來克服IRC的一些缺點。該組織傾向于使用已有的黑客工具和haiduc工具，這些工具都會封裝到bash文件中的，所以普通用戶都可以運行這些工具。Haiduc這個工具本身就很可疑，因此會被低交互的蜜罐系統(tǒng)監(jiān)控到。

Outlaw組織的目標(biāo)應(yīng)該是首先構(gòu)建一個可以發(fā)起DDoS攻擊的基礎(chǔ)設(shè)備，然后使用暴力破解使用SSH服務(wù)的機器來擴大僵尸網(wǎng)絡(luò)的規(guī)模，最后通過加密貨幣挖礦來盈利。

本文內(nèi)容由 曲速未來 (WarpFuture.com) 安全咨詢公司整理編譯，轉(zhuǎn)載請注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發(fā)安全、智能合約開發(fā)安全等相關(guān)區(qū)塊鏈安全咨詢服務(wù)。