趨勢科技在之前發表過使用IRC殭屍網路的Outlaw駭客集團。而本篇文章將會繼續介紹該集團殭屍網路的主機部分，我們發現它試圖在我們的IoT蜜罐系統上執行腳本。殭屍網路利用工具 – haiduc在網路上找尋目標並用常見的命令注入漏洞來進行攻擊。一旦成功就會在目標系統上執行腳本min.sh（趨勢科技偵測為Coinminer.SH.MALXMR.ATNJ）。

我們這次發現兩個版本的Outlaw變種。第一個版本所用的腳本有兩個功能：挖礦程式和Haiduc工具。挖礦程式也有兩種格式。一種是純文字的bash/Perl腳本，另一種是混淆過的Perl腳本來避免被內容檢測入侵防禦系統（IPS）/防火牆所偵測。

而第二個版本主要是用於暴力破解，並且會進一步攻擊Microsoft遠端桌面協定和雲端管理cPanel來提升權限。而伺服器列表也顯示出漏洞攻擊的意圖，這份列表內的伺服器執行著有已知漏洞的程式庫libc.so.6。

第一個版本變種概述

下載的挖礦程式會用同時可在Linux和Android上執行的程式來挖掘門羅幣。這支挖礦程式會先檢查系統上是否有其他執行中的挖礦程式。如果發現，此腳本就會終止之前挖礦程式並執行自己的程式。這表示這隻殭屍程式可以劫持其他殭屍網路的挖礦活動。要注意的是，有些Mirai變種也具有相同的功能，但跟某些Mirai變種不同的是，這隻殭屍程式不會修補受害者來保護他們避免被再次感染。

開始挖礦後，殭屍網路會檢查程序列表來確認挖礦程式確實在執行中。如果沒有，就會再次下載惡意檔案並重新啟動挖礦程序（包括檢查是否存在其他挖礦程式）。

此過程讓駭客可以從其他攻擊者手上偷走入侵的挖礦主機，並用更新版本的挖礦程式來重新感染主機，能夠在這些攻擊者的XMR錢包被劫持後繼續運作。

一旦開始進行挖礦，挖礦程式就會回報給放有隨機名稱PHP腳本的被入侵網站。

腳本的另一功能負責散播殭屍網路。它所使用的是haiduc，我們之前就注意到它是Outlaw駭客集團主要使用的工具。這支haiduc工具會先暴力攻擊運行SSH服務的有漏洞主機。它所用的列表以PHP腳本形式放在被入侵網站上。一旦暴力破解成功，就會執行擴散殭屍網路的命令。它會安裝被入侵網站所提供的min.sh腳本。接著根據PHP腳本設定來掃描目標，並用電子郵件將結果寄給殭屍網路管理員（寫在其中一個PHP腳本內）。我們在之前的文章中提到此集團會利用IRC bot來形成殭屍網路，但這次是利用PHP來控制殭屍網路。不過挖礦程式和haiduc工具仍來自同一組織。

殭屍網路會從hxxp://www[.]karaibe.us/.foo/min.sh下載惡意shell腳本。奇怪的是，該網域會在原始碼中嵌入Google Analytics腳本，可能是為了讓殭屍網路管理員監控攻擊活動。目前此網域會被導到籃球聯賽積分榜網站。Outlaw駭客集團一直都使用著此項技術，並且很明顯地，透過PHP漏洞攻擊更多網站來取得新的C&C或內容派送伺服器是他們的核心活動之一。 繼續閱讀