歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Outlaw黑客組織通過僵尸網絡傳播挖礦機和木馬

來源:本站整理 作者:佚名 時間:2019-07-01 TAG: 我要投稿

TrendMicro研究人員檢測到一個傳播含有門羅幣挖礦機和Perl后門組件的僵尸網絡的URL。研究人員發現這與Outlaw黑客組織之前攻擊活動中使用的方法一樣。
研究人員在分析中發現攻擊者使用了一個可執行的SSH后門,而且這些組件以服務的形式安裝來為惡意軟件提供駐留。基于Perl的后門組件可以啟動DDoS攻擊,允許犯罪分子通過提供DDoS即服務和加密貨幣挖礦機來利用僵尸網絡獲利。
但研究人員認為該攻擊活動背后的攻擊者可能在測試和開發過程,因為還有shell腳本組件在TAR文件中沒有執行。
截至目前,研究人員監測到了來自中國的感染活動。
攻擊方法
數據顯示惡意軟件通過SSH暴力破解攻擊來獲取系統的訪問權限,并執行兩個可能的命令文件。文件組件和方法與之前的分析是一直的,分析的樣本中執行了.x15cache,bash腳本會下載惡意軟件。

圖 1.通過SSH暴力破解攻擊機器
Shell腳本會下載、提取和執行挖礦機payload。提取的TRR文件包含含有腳本、挖礦機和后門組件的文件夾。

圖 2. 提取挖礦機payload和后門組件

圖 3. 提取的TAR文件樹
文件夾a含有cron和anacron二進制文件,是惡意軟件使用的加密貨幣挖礦機。其他的文件是負責挖礦機組件執行,清除和刪除其他系統中的競爭挖礦機。文件夾b含有后門組件和shell腳本。
其中一個文件就說rsync,這是初始混淆的基于Perl的shellbot,可以執行文件下載、shell cmd執行和DDOS這樣的多個后門命令。

圖 4. 混淆的Perl腳本

圖 5. 解混淆的rsync代碼段
另一個文件ps,是一個作為SSH后門的Linux可執行文件。

圖 6. SSH后門
文件樹顯示文件夾c是空文件夾。它也含有多個二進制文件和shell腳本,但執行過程中只有一些為你教案執行了。從蜜罐中獲取的樣本來看,這說明攻擊活動正在測試或開發階段。研究人員認為未來攻擊者可能會使用這些沒有使用過的文件。
分析ps嘗試連接的URL,研究人員發現了含有壓縮文件dota[.]tar[.]gz的mage[.]ignorelist[.]com。它含有x.15cache下載的TAR文件夾相同的a和b文件夾,c文件夾含有文件tsm32和 tsm64,以及其他可執行文件和組件。

圖 7. 文件夾c
文件tsm32和tsm64是負責通過SSH暴力破解傳播挖礦機和后門的掃描器,可以發送遠程命令來下載和執行惡意軟件。

圖 8. tsm32

圖 9. tsm32發送的遠程命令
.satan 文件是一個shell腳本,會將后門惡意軟件以服務的形式安裝。在Linux中,以周期開始的文件是隱藏的。

圖 10. .satan 文件
結論
研究人員是從2018年開始發現Outlaw的攻擊活動的,研究人員注意到它很快從測試和開發階段到入侵了超過20萬主機,其中也包含一些移動設備。在該攻擊活動中,研究人員得到一些關于攻擊仍處于早期階段的攻擊活動。通過入侵和感染系統可以使擴大其監聽和掃描的能力,報告給C2服務器,啟動DDOS攻擊。
這些應用的技術也被廣泛使用,而且在地下市場在不斷地交換。Outlaw融合了惡意加密貨幣挖礦機和基于Perl的后門將受害者機器變成了僵尸網絡和DDoS服務。如果Perl安裝在機器中,使用Perl編程語言作為后門可以確保惡意軟件的靈活性,因為既可以在Linux操作系統也可以在Windows操作系統中運行。如果該代碼出售的話,代碼的駐留、使用、修改和執行要更加簡單一些。
研究人員還注意到服務器上保存的APK文件的存在,意味著如果犯罪分子決定除了感染服務器外還會進一步進行攻擊,攻擊者可能會攻擊基于安卓的設備。
 

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 合买彩票合法吗 lol电一王者直播赚钱嘛 凯利指数投注技巧 极速十一选五走势图手机版 2018年大话2五开赚钱攻略 三分彩软件 出口国外什么产品赚钱 贵州十一选五开奖结果果 旺财赚怎样赚钱是真的吗 广东11选5走势 pc蛋蛋预测加拿大技巧 申城棋牌首页 体彩开奖结果 北京 股票配资公司 青海十一选五玩法 像九游游戏平台赚钱