Outlaw駭客集團散播殭屍網路來進行虛擬貨幣挖礦、網路掃描和暴力破解

趨勢科技在之前發表過使用IRC殭屍網路的Outlaw駭客集團。而本篇文章將會繼續介紹該集團殭屍網路的主機部分,我們發現它試圖在我們的IoT蜜罐系統上執行腳本。殭屍網路利用工具 – haiduc在網路上找尋目標並用常見的命令注入漏洞來進行攻擊。一旦成功就會在目標系統上執行腳本min.sh(趨勢科技偵測為Coinminer.SH.MALXMR.ATNJ)。

我們這次發現兩個版本的Outlaw變種。第一個版本所用的腳本有兩個功能:挖礦程式和Haiduc工具。挖礦程式也有兩種格式。一種是純文字的bash/Perl腳本,另一種是混淆過的Perl腳本來避免被內容檢測入侵防禦系統(IPS)/防火牆所偵測。

而第二個版本主要是用於暴力破解,並且會進一步攻擊Microsoft遠端桌面協定和雲端管理cPanel來提升權限。而伺服器列表也顯示出漏洞攻擊的意圖,這份列表內的伺服器執行著有已知漏洞的程式庫libc.so.6。

 

第一個版本變種概述

下載的挖礦程式會用同時可在Linux和Android上執行的程式來挖掘門羅幣。這支挖礦程式會先檢查系統上是否有其他執行中的挖礦程式。如果發現,此腳本就會終止之前挖礦程式並執行自己的程式。這表示這隻殭屍程式可以劫持其他殭屍網路的挖礦活動。要注意的是,有些Mirai變種也具有相同的功能,但跟某些Mirai變種不同的是,這隻殭屍程式不會修補受害者來保護他們避免被再次感染。

開始挖礦後,殭屍網路會檢查程序列表來確認挖礦程式確實在執行中。如果沒有,就會再次下載惡意檔案並重新啟動挖礦程序(包括檢查是否存在其他挖礦程式)。

此過程讓駭客可以從其他攻擊者手上偷走入侵的挖礦主機,並用更新版本的挖礦程式來重新感染主機,能夠在這些攻擊者的XMR錢包被劫持後繼續運作。

一旦開始進行挖礦,挖礦程式就會回報給放有隨機名稱PHP腳本的被入侵網站。

腳本的另一功能負責散播殭屍網路。它所使用的是haiduc,我們之前就注意到它是Outlaw駭客集團主要使用的工具。這支haiduc工具會先暴力攻擊運行SSH服務的有漏洞主機。它所用的列表以PHP腳本形式放在被入侵網站上。一旦暴力破解成功,就會執行擴散殭屍網路的命令。它會安裝被入侵網站所提供的min.sh腳本。接著根據PHP腳本設定來掃描目標,並用電子郵件將結果寄給殭屍網路管理員(寫在其中一個PHP腳本內)。我們在之前的文章中提到此集團會利用IRC bot來形成殭屍網路,但這次是利用PHP來控制殭屍網路。不過挖礦程式和haiduc工具仍來自同一組織。

殭屍網路會從hxxp://www[.]karaibe.us/.foo/min.sh下載惡意shell腳本。奇怪的是,該網域會在原始碼中嵌入Google Analytics腳本,可能是為了讓殭屍網路管理員監控攻擊活動。目前此網域會被導到籃球聯賽積分榜網站。Outlaw駭客集團一直都使用著此項技術,並且很明顯地,透過PHP漏洞攻擊更多網站來取得新的C&C或內容派送伺服器是他們的核心活動之一。

 

檢視感染腳本 – min.sh

Figure 1. Initial script, min.sh

圖1、一開始的腳本 – min.sh

 

挖礦活動

 

腳本的第一部分會下載tgz壓縮格式的挖礦程式和補充檔案。加進其他伺服器/網域可以讓攻擊者確保即使有一個系統停擺也可以讓惡意活動繼續進行。

注意:在此範例內是相同的目標 – 區別在於一次使用IP,另一次使用網域名稱(FQDN)。有些資安事件管理(SIEM)工具可以封鎖其中一個,但基於效能考量通常不會同時封鎖兩者。

解壓縮下載的檔案後會將工作目錄移動到隱藏的「.bin」。使用隱藏目錄應該是為了避免讓系統管理員察覺到挖礦程式。

它接著會在背景執行XMR挖礦程式,並將輸出導向「dev/null」。

 

掃描活動

下一步會將工作目錄變更為「/tmp」。也會刪除隱藏的「.vd」目錄檔案來確保下列步驟只會使用最新版本。接著會下載跟解壓縮sslm.tgz,並且在工作目錄執行。這是一支haiduc掃描程式,利用位在C&C伺服器上的PHP腳本產生目標列表。

它將被入侵主機的「介紹」(見下圖)送到另一個位於hxxp://www[.]karaibe[.]us/[.]foo/remote/info[.]php的PHP腳本。

Figure 2. POST request to the C&C

圖2、對C&C的POST請求

 

將「介紹」送給C&C後,它將工作目錄改回「/tmp」,並從受影響系統刪除感染腳本。

 

第二個版本變種提供進一步的掃描選項

我們分析了各種haiduc工具並且發現之前提到的工具版本,以及用於入侵的變動目標列表。有兩個版本的haiduc具備之前未見過的目的:測試目標系統是否運行遠端桌面協定(RDP)或cPanel。RDP被用於Windows主機和伺服器的遠端管理,而cPanel是開放原始碼的雲端管理介面。如果它在目標主機上找到這些服務,就會儲存起來以供將來攻擊之用。

 

透過遠端桌面協定(RDP)掃描

在Shodan上搜尋可以看到數百個以上對外開放RDP端口的伺服器。一旦被入侵就可以讓駭客連進原本外部網路連不到的內網(讓他們能夠進一步地在企業網路內進行橫向移動),竊取敏感資料、監視個人和控制工業系統等等。

下圖內的腳本被用來執行Perl腳本 – psc2(趨勢科技偵測為ELF_PORTSCAN.TNK,用來搜尋RDP相關的開放端口)。輸出會傳入工具 – rdp(32位元的Linux可執行檔),使用psc2腳本所提供的遠端主機地址來嘗試進行登入。駭客利用此腳本來進行手動攻擊。

Figure 3. First variant of the script running Perl script psc2 and rdp tool

圖3、第一個版本的腳本執行Perl腳本 – psc2和rdp工具

 

第二個版本的感染腳本已經可以用PHP C&C進行控制。在此案例中,參數包括了“class”檔案(趨勢科技偵測為HKTL_SHARK.C)。有一個class檔案列出了已知組織,另一個則列出基於GeoIP位置的IP類別。同樣地,該腳本先執行Perl端口掃描程式,並將其輸出送給工具 – rdp(趨勢科技偵測為ELF_PORTSCAN.TNK)。該工具還內嵌一份字典檔,包含了3,811行產生的帳密。

Figure 4. Second variant of the script running Perl script psc2 and rdp tool, with embedded wordlist

圖4、第二個版本的腳本執行Perl腳本 – psc2和rdp工具,內嵌了字典檔

 

透過 cPanel 攻擊雲端

cPanel是具有常見管理介面的雲端代管平台。常被中小企業(SMB)用來管理其私有雲服務。攻擊成功會對受害者造成很大的影響,因為駭客可能會劫持包含敏感資料的整座雲端基礎架構。不管會不會有什麼問題,將雲端管理介面放在公司子網域並讓外部能夠連上是相當常見的作法。而以下的攻擊利用了這種壞習慣,這種攻擊很簡單但會對組織造成很大的影響。

與RDP相同,攻擊使用了一份列表而非掃描整個網路。利用Morning Star Security所開發的非惡意腳本 – bing-ip2hosts來找出主機是否存在子網域。將結果輸出到檔名為「bios」的列表,然後輸入到暴力破解工具 – brute(趨勢科技偵測為HKTL_PORTSCAN),被包在檔名為「go」的bash腳本。此工具可以讓使用者用「class」檔案攻擊某些國家。腳本「go」是個bash程式,它利用「class」產生IP列表。「getdns」腳本執行「bing-ip2hosts」來取得子網域列表。最後會呼叫brute來進行暴力破解。

Figure 5. cPanel attack script

圖5. cPanel攻擊腳本

 

結論和解決方案

Outlaw駭客集團正不斷地發展殭屍網路。利用PHP C&C的能力來補足IRC的缺點,提供更好的C&C伺服器擴充能力及PHP所帶來的更多功能。

這個駭客集團傾向使用常見的駭客工具和haiduc工具,通常都包入bash腳本中,讓技術能力不是那麼高的使用者也可以使用這些工具。Haiduc本身很顯眼,可以用低互動蜜罐系統加以監控。

無論是使用哪種工具,這個駭客集團都成功地取得新目標。到目前為止,我們發現超過18萬台的被入侵主機,有2萬台是新的被入侵主機,包括物聯網系統、各種網站、雲端虛擬專用伺服器(VPS)、被入侵Windows伺服器等等,遍布全球。

Android行動設備也會受到影響。不過需要擁有者先root設備,或是故意將受感染檔案放在「chrooted」的Linux系統上執行。我們發現在Android上透過此惡意軟體是可以偵測到真實IP/位置。

一開始,Outlaw駭客集團的目標似乎是建立能夠對許多已知公司進行分散式阻斷服務(DDoS)攻擊的基礎設施。後來,他們加入了SSH暴力破解,可以進一步發展他們的殭屍網路。接著開始了虛擬貨幣挖礦,本文中所描述最新發現的RDP和cPanel暴力破解攻擊也屬於此駭客集團運作的範圍。

為了防止Outlaw駭客集團殭屍網路所帶來的風險,使用者可以考慮採用能透過跨世代混合威脅防禦技術來抵禦惡意殭屍網路活動的安全解決方案。趨勢科技的XGen安全防護提供高保真機器學習功能,可以保護閘道和端點,並保護實體、虛擬和雲端的工作環境。透過網頁/網址過濾、行為分析和客製化沙盒等技術,XGen安全防護技術可以抵禦不斷進化來繞過傳統安全防護並攻擊已知/未知漏洞的威脅。XGen防護技術同時也驅動著趨勢科技一系列的防護解決方案:Hybrid Cloud Security(混合式雲端防護)User Protection(使用者防護)Network Defense(內網防護)

 

關於駭客組織所使用各檔案的詳細資料,請參閱本附錄

 

入侵指標(IoC

aaaaa@gmail[.]com

deutscheshop@gmx[.]de

hoffmannklaus254@gmail[.]com

shopde2018@gmx[.]de

相關雜湊值(SHA-256
4d62e6fd9e16b05a16859582cbbf6e841e2097ac6f25f35f2e078b3dfb490bb9 min.sh Coinminer.SH.MALXMR.ATNJ
fac368bf471cb8152aad779884294352e5ebaee19efcecb6c5c147e3ada8997f finish.php Trojan.PHP.MINERMAILER.A
6163a3ca3be7c3b6e8449722f316be66079207e493830c1cf4e114128f4fb6a4 haiduc HackTool.Linux.SSHBRUTE.A
4928a79c9e06cf4efe0110afada7ee8f1141c3f9021aff5419946cb535b99a0e rand Trojan.SH.MINERPORTSCAN.A
3f1fb3cb0cf903278934b7bd17581e49f3ac1b4eef4493096105a2ed792151b9 sparky.sh Coinminer.SH.MALXMR.ATNJ
af4ad9bf3e954c6deae18154273b4f5ea37364b3fe1536f4ae362ef15a6ced38 start Coinminer.SH.MALXMR.ATNJ
45ed59d5b27d22567d91a65623d3b7f11726f55b497c383bc2d8d330e5e17161 h32 HKTL_XHide.GA
7fe9d6d8b9390020862ca7dc9e69c1e2b676db5898e4bfad51d66250e9af3eaf h64 HKTL_XHide.GA
c890d18fe3753a9ea4d026fc713247a9b83070b6fe40539779327501916be031 md64 Coinminer.Linux.MALXMR.ATG
df51c6b13714079bbf276d5c5f907d873eb48f283d617415ff351a25bf834332 start Coinminer.Linux.MALXMR.ATG
1f2c76173c7a1fbb6b28c6b9e0b8bceccbbbf2bea07518f71eb8cf21d13c7ac7 daemon Coinminer.Linux.MALXMR.AA
5ffb00a0176f8797e81b242209ec7a6a29bbfac392259bf018f746a32bfd401d xmrigMiner Coinminer.Linux.MALXMR.AI
1f69b1441d5c6e351cae4c05ded6af7b2461b63b7bb52d5d9c40586d8acf545f psc2 ELF_PORTSCAN.TNK
dca76c1502a5f2307b81c71f9283097872ab842bf5e1ea12a36983d6c61675c4 rdp ELF_PORTSCAN.TNK
4b5bd8eeb308cd0e73c42e5de9c994822b06924a42f4782c090b33c56fc27979 start_ ELF_STARTER.A
8a4c8912c35449c194844b87cb7bace340e6ed3ba5ae141088a68054c8de1aad brute HKTL_PORTSCAN
97093a1ef729cb954b2a63d7ccc304b18d0243e2a77d87bbbb94741a0290d762 class HKTL_SHARK.C

67[.]205[.]129[.]169 – C&C 伺服器

167[.]114[.]54[.]15 – Infecting IP

hxxp://www[.]karaibe[.]us/[.]foo/min[.]sh

hxxp://bookaires[.]com/feed/min[.]sh

hxxp://67[.]205[.]129[.]169/[.]foo/min[.]sh

hxxp://www[.]karaibe[.]us/[.]foo/remote/info[.]php – lists IP addresses/ targets for the scanning

hxxp://www[.]karaibe[.]us/[.]foo/feed/feedp[.]php – lists tested credentials

hxxp://www.karaibe[.]us/[.]foo/feed/class[.]php – first two octets of an IP address to be scanned

hxxp://www[.]karaibe[.]us/[.]foo/nano[.]php

 

@原文出處:Outlaw Group Distributes Botnet for Cryptocurrency-Mining, Scanning, and Brute-Force