研究人员发现DarkCrewFriends组织的新活动
2020-07-02 10:47:21 Author: www.4hou.com(查看原文) 阅读量:236 收藏

01.jpg

Check Point研究人员最近从一个知名的黑客组织“DarkCrewFriends”中发现了一个正在进行的,不断发展的恶意活动。该活动针对PHP服务器,重点是创建可用于多种目的(例如盈利和关闭关键服务)的僵尸网络基础结构。

在过去的几年中,DarkCrewFriends一直很活跃。该组织提供各种服务,从恶意木马到网站流量服务,并被认为是造成意大利一家新闻网站数据泄漏的责任方。

当前的攻击链包括利用一个不受限制的文件上传漏洞,上传一个恶意的PHP web shell,以及使用IRC通道与C&C服务器通信。攻击者可以利用恶意软件的各种功能,例如DDoS攻击类型和shell命令执行。

攻击链

攻击链包括以下几个阶段:

1.png

被利用的漏洞

在最初的分析中,我们在受害者的服务器上观察到了PHP后门,这些PHP Web Shell文件已由攻击者上传到易受攻击的服务器。

许多应用程序允许用户将某些文件(例如图像或文档)上传到他们的服务器。如果处理不当,这些文件可能会使系统面临风险。远程攻击者可以绕过服务器的文件扩展名检查,将自定义的请求发送到易受攻击的服务器并上传不受限制的文件。这最终可能导致在受影响的系统上执行任意代码。

根据我们的研究,受害者的服务器托管着内容管理网站。这些平台具有多个不受限制的文件上传漏洞,攻击者可以在其中将恶意文件上传到易受攻击的服务器。其中一个漏洞就是由DarkCrewFriends创建和发布。

2.png

DarkCrewFriends发布的不受限制的文件上传漏洞

根据他们以前的漏洞进行分析,攻击者对这种类型的漏洞非常熟悉。我们可以假设攻击者使用了不受限制的文件上传漏洞来在受害者的服务器上建立后门。

PHP后门

为了利用move_uploaded_file漏洞并在受影响的服务器上创建后门,攻击者在受害者的服务器上上传了以下Web Shell。该代码定义了一个称为osc的GET参数,并执行了一个解压缩的base64字符串。我们还检测到攻击者使用的该PHP后门的另一个版本,该版本使用了Web Shell代码中定义的GET参数anon。

PHP Web Shell

3.png

PHP后门代码

当我们访问上传的文件时,出现DarkCrewFriends标题:

4.png

来自PHP后门的HTTP响应,包括DarkCrewFriends标题

此外,该文件还包含base64字符串。解码此字符串时,我们看到以下代码:

解码的Base64

5.png

解码的base64字符串

下载恶意文件

成功完成后门初始化后,攻击者将调用一个称为osc的参数。然后,攻击者访问文件,并通过此参数将参数传递给他们的代码,并执行以下代码:

6.png

解码字符串时,我们发现了用于下载和执行两个.aff文件的命令。之后,所有.aff文件都将被删除。

解码的Base64

7.png

日志中解码的base64字符串

当我们下载两个.aff文件时,我们看到这些文件实际上是PHP和Perl文件,隐藏的文件扩展名用于避免检测并混淆问题。我们从攻击日志中获得了攻击者的源IP地址190.145.107.220。进一步调查显示,与此地址相关的域是lubrisabana[.]com。

8.png

攻击者IP相关域的DNS历史记录

我们还研究了pkalexeivic[.]com域的历史,该域曾用于存储恶意.aff文件。我们检查了该域的DNS历史记录,并惊讶地发现,该域名的最后一个活动也发生在同一天。

9.png

用于存储aff文件pkalexeivic[.]com的域的DNS历史记录

我们认为这是与这次活动相关的新活动的一个指标,另外,我们注意到文件中的变量名称和注释是用意大利语编写的。

恶意软件分析

该恶意软件具有广泛的功能,包括:

· 同时打开多个进程;

· 暂停脚本以避免被检测;

· 执行shell命令;

· 提取主机上所有正在运行的服务;

· 下载\上传FTP文件;

· 扫描打开的端口;

· 进行多种DDoS攻击:UDP & TCP DDoS, “Mega DDoS”, HTTP flood, IRC CTCP flood,并利用多个开放代理来进行合并的DDoS攻击;

· 执行多个IRC命令。

该恶意软件使用IRC (Internet Relay Chat)协议进行通信,IRC包括各种命令,允许用户在IRC通道中执行某些操作。这些命令被恶意软件用来执行其活动。除了其他操作外,该恶意木马还使用IRC命令来感染/攻击其他IRC服务器,并与远程C&C服务器进行通信。

如上所述,支持各种DDoS攻击,并且相关攻击类型的菜单通过PRIVMSG(在IRC用户之间传输的私人消息)发送给恶意软件的操作员,所需的操作将从C&C的回应中获取。

10.png

恶意软件支持的多种DDoS攻击类型

在以下函数中,攻击者下载并执行文件,并在受影响的系统上执行远程代码:

11.png

在受影响的系统上执行每个文件的函数

攻击者还可以在受影响的计算机上执行Shell命令。这些命令由C&C服务器发送:

12.png

执行shell命令的函数

该恶意软件还具有FTP上传和下载功能:

13.png

通过FTP上传文件的功能

在对恶意软件的分析之后,我们注意到这种恶意软件的变种在网上广泛传播。

14.png

在一个恶意软件样本存储库中发现的Perl恶意软件变体

15.png

GitHub库中的PHP恶意软件代码

在撰写本文时,没有一个文件被上传到Virus Total。

对安全影响

该恶意软件具有多种攻击类型和功能,可用于实现各种目标。该恶意木马可以用来窃取敏感信息,破坏受影响的系统,甚至使其完全崩溃。通过以上恶意软件分析部分中描述的各种场景和攻击方法,我们可以得出结论,对受害者基础设施的影响可能是严重的,并具有显著的影响。

根据我们的代码和情报分析,可以得出结论,负责此活动的攻击者与黑客组织DarkCrewFriends相关。以下是一些明显的线索:

16.png

Web Shell代码中的DarkCrewFriends签名

17.png

管理员的“真实姓名”

过去,该组织与一家意大利新闻网站的黑客攻击有关:

18.png

DarkCrewFriends新闻网站黑客的新闻报道

此外,在黑客论坛中进行了更深入的搜索后,我们找到了一个名为“SOULDRK”的用户,该用户公开了该组织的漏洞利用服务。在查看黑客论坛中该用户的帖子时,我们推测该用户可能是意大利人。

19.png

用户SOULDRK对DarkCrew服务的推广

如前所述,该组织提供了许多不同的服务,包括恶意木马和网站流量服务。他们所有的服务均已定价,付款仅以BTC为单位。我们在论坛中跟踪了多个主题和相关帖子。这些帖子发布于2013年至2015年之间,与恶意软件存储库的日期和意大利新闻网站遭到黑客攻击的时间一致。

此外,我们还看到了2019年9月的最新帖子:

20.png

SOULDRK的最新帖子

在这篇文章中,攻击者寻求了一个新域来托管与上述活动有关的恶意软件。

恶意木马商店服务

攻击者使用IRC协议来感染连接的服务器,从而创建一个僵尸网络,这为他们提供了更强大的攻击工具,也被用于他们提供的网络通信。

21.jpg

DarkCrew网络通信服务的广告

22.png

DarkCrew恶意木马商店服务的广告

提供的销售工具可用于多种目的,并带有用户友好的解释。 DarkCrew还为客户提供了一系列服务,包括安装,管理和更新其漏洞利用程序。

23.jpg

DarkCrew集成服务的广告

总结

我们一直在跟踪DarkCrew Friends开展的一项不断发展的多维活动,该活动针对PHP服务器以创建庞大的僵尸网络基础结构。关联的僵尸网络具有大量的攻击功能,可以用来窃取敏感信息并破坏受害者的系统。

我们将继续监控DarkCrewFriends组织新开发的恶意软件和进一步活动。

IOC

C&C 服务器

182[.]53.220.81

域名

pkalexeivic[.]com

文件哈希

52fed95c6428ceca398d601a0f0a6a36dedb51799ae28f56f4e789917226dd84
0f3062e22d8facfa05e6e6a1299b34d6bcbf7c22aa65241f6e332b71dcc80e15

参考文献

https://www.unphp.net/decode/fab0fdff9d71db61690eb90a388651eb/
https://0day.today/exploit/21551
http://oucsace.cs.ohio.edu/~tysko/Attacks/2013-05-28-private-edition-perl-script.txt
https://github.com/bartblaze/PHP-backdoors/blob/master/Deobfuscated/WebShell_0d7c88a18a0cba44f1f808de084fed1273d4911e.php
https://www.zonedombratv.it/qdark-crew-friendsq-hacker-oscurano-giornale-online/
https://www.lancianonews.net/notizie/attualita/2276/attacco-hacker-per-ilgiornaledabruzzoit
https://www.stratosphereips.org/blog/2018/5/29/high-level-overview-of-a-malicious-perl-bot
http://www.networksorcery.com/enp/protocol/irc.htm

本文翻译自:https://research.checkpoint.com/2020/the-return-of-the-bot-shop-crew/如若转载,请注明原文地址:


文章来源: https://www.4hou.com/posts/kDDJ
如有侵权请联系:admin#unsafe.sh