执行摘要

Unit 42团队用了六个月的时间研究了位于中国的网络犯罪集团Rocke，该恶意组织是针对云计算领域最著名的威胁行为者。在我们最近发布的云威胁报告中，发布了对Rocke的调查结果。该研究报告深入分析了我们针对Rocke的调查结果，发现该恶意组织可以在几乎没有干扰和有限检测风险的情况下开展业务。

通过对2018年12月至2019年6月16日的NetFlow数据进行分析，我们发现在分析的云环境中，有28.1%至少存在一个完全建立的网络连接，至少有一个已知的Rocke命令和控制（C2）域。其中一些组织，几乎与攻击者保持着每日的通信联系。与此同时，有20%的组织保持每小时的心跳连接，该特征与Rocke的战术、技术和程序（TTP）一致。

该恶意组织还发布了一个名为Godlua的新型工具，该工具可以充当代理，允许该恶意组织的成员执行其他脚本操作，包括拒绝服务（DoS）攻击、网络代理和两个Shell功能。Unit 42还发现了NetFlow流量中的网络流量识别模式，这些模式提供了针对Rocke TTP以及防御者如何开发检测功能的独特见解。

关于Rocke恶意组织

Rocke，又称为Iron组织、SystemTen、Kerberods/Khugepageds，此前Rocke的恶意活动在2018年8月被披露。在此之后，研究人员发表了关于该恶意组织所使用的Golang编程语言和新后门Godlua的研究结果。有一篇研究文章将Rocke恶意运营关联到MITRE ATT&CK框架。Unit 42还发布了关于该组织的Xbash勒索软件工具及其云安全逃避和加密货币挖矿技术的分析文章。

Rocke最初通过使用针对Linux系统的Xbash工具，开展勒索软件相关的恶意活动，使用一种功能上类似于NotPetya的数据破坏恶意软件。NotPetya使用EternalBlue（永恒之蓝）漏洞利用网络进行传播。Xbash使用了组织未修复的漏洞以及弱密码进行横向移动，这一过程可能会限制其整体效率。当Rocke攻击某一个特定组织时，它要求受害者支付0.2、0.15或0.02比特币（BTC）从而恢复丢失的数据。但是，由于Xbash在要求勒索赎金之前就已经删除了数据库表，因此即使支付了赎金，Rocke也无法恢复任何数据。在Unit 42发布此研究成果时，Rocke的BTC钱包仅仅有48次转账，共计0.964 BTC（按照当前汇率折合为10130美元）。

Rocke的加密货币挖矿运营

与Rocke的Xbash恶意软件一样，该组织的第一个加密货币挖掘运营是使用Python编写的，并使用Pastebin或GitHub作为下载第一阶段Payload的代码存储库。截止2019年3月12日，Rocke恶意攻击者也开始使用Golang语言。第一阶段Payload指示受害者的系统连接到硬编码的Rocke域名或IP地址，这将会触发第二阶段Payload的下载。

Unit 42观察到了独特的12步运营模式，自Rocke首次被发现以来，这一风格似乎保持一致：

1、恶意攻击者将第一个Payload上传到第三方站点（例如：Pastebin或GitHub）；

2、利用鱼叉式网络钓鱼等方式，诱导受害者访问Pastebin或GitHub；

3、利用Oracle WebLogic、Adobe ColdFusion、Apache Struts等已知漏洞；

4、受害者下载Shell Scripts或JavaScript Backdoor等后门；

5、受害者通过Python或Golang脚本运行第一个Payload，并连接到C2服务器；

6、下载并执行第二个Payload脚本，获得对系统的管理员访问权限；

7、通过cron任务命令创建持久性；

8、搜索并关闭以前安装的加密货币挖矿进程；

9、添加IPtables以阻止将来可能存在的加密货币挖矿进程；

10、卸载基于代理的云安全工具（例如：腾讯云、阿里云）；

11、下载并安装门罗币（Monero）挖矿软件；

12、Rootkit XMRig挖矿进程通过Linux“ps”命令使用libprocesshider。

Rocke基础设施

截至撰写本文时，我们通过硬编码的IP地址、URL地址或域名注册信息（例如：WHOIS注册人电子邮件地址），将8个域名与Rocke C2运营者联系起来。下面列出了域名对应的Rocke恶意组织基础架构。

域名：sowcar[.]com

Rocke的连接方式：硬编码IOC

连接信息：[email protected][.]com

关联IP：

23.234.4[.]151

23.234.4[.]153

27.221.28[.]231

27.221.54[.]252

36.103.236[.]221

36.103.247[.]121

36.248.26[.]205

42.202.141[.]230

42.236.125[.]84

42.56.76[.]104

43.242.166[.]88

59.83.204[.]14

60.167.222[.]122

61.140.13[.]251

104.31.68[.]79

104.31.69[.]79

113.142.51[.]219

113.200.16[.]234

116.211.184[.]212

118.213.118[.]94

118.25.145[.]24

122.246.6[.]183

125.74.45[.]101

150.138.184[.]119

182.118.11[.]126

182.118.11[.]193

182.247.250[.]251

182.247.254[.]83

183.224.33[.]79

211.91.160[.]159

211.91.160[.]238

218.75.176[.]126

219.147.231[.]79

221.204.60[.]69

域名：thyrsi[.]com

Rocke的连接方式：WHOIS注册

连接信息：[email protected][.]com

关联IP：

23.234.4[.]151

23.234.4[.]153

103.52.216[.]35

104.27.138[.]223

104.27.139[.]223

205.185.122[.]229

209.141.41[.]204

域名：w2wz[.]cn

Rocke的连接方式：WHOIS注册

连接信息：[email protected][.]com

关联IP：

36.103.236[.]221

36.103.247[.]121

42.202.141[.]230

58.215.145[.]137

58.216.107[.]77

58.218.208[.]13

60.167.222[.]122

61.140.13[.]251

113.142.51[.]219

113.96.98[.]113

116.211.184[.]212

118.213.118[.]94

118.25.145[.]241

121.207.229[.]203

122.246.20[.]201

125.74.45[.]101

140.249.61[.]134

150.138.184[.]119

182.118.11[.]193

182.247.250[.]251

218.75.176[.]126

219.147.231[.]79

222.186.49[.]224

域名：baocangwh[.]cn

Rocke的连接方式：WHOIS注册

连接信息：[email protected][.]com

关联IP：

103.52.216[.]35

104.18.38[.]253

104.18.39[.]253

104.31.92[.]26

104.31.93[.]26

119.28.48[.]240

205.185.122[.]229

域名：z9ls[.]com

Rocke的连接方式：WHOIS注册

连接信息：[email protected][.]com

关联IP：

103.52.216[.]35

104.27.134[.]168

104.27.135[.]168

104.31.80[.]164

104.31.81[.]164

172.64.104[.]10

172.64.105[.]10

205.185.122[.]229

域名：gwjyhs[.]com

Rocke的连接方式：硬编码的域名

连接信息：gwjyhs[.]com

关联IP：

103.52.216[.]35

104.27.138[.]191

104.27.139[.]191

205.185.122[.]229

域名：heheda[.]tk

Rocke的连接方式：硬编码IP或域名

连接信息：

104.238.151.101

c.heheda[.]tk

d.heheda[.]tk

dd.heheda[.]tk

关联IP：

104.18.58[.]79

104.18.59[.]79

104.238.151[.]101

195.20.40[.]95

198.204.231[.]250

域名：cloudappconfig[.]com

Rocke的连接方式：硬编码IP或域名

连接信息：

104.238.151.101

c.cloudappconfig[.]com

img0.cloudappconfig[.]com

Img1.cloudappconfig[.]com

img2.cloudappconfig[.]com

关联IP：

43.224.225[.]220

67.21.64[.]34

104.238.151[.]101

198.204.231[.]250

域名：systemten[.]org

Rocke的连接方式：硬编码的域名

连接信息：systemten[.]org

关联IP：

104.248.53[.]213

104.31.92[.]233

104.31.93[.]233

134.209.104[.]20

165.22.156[.]147

185.193.125[.]146

Rocke的新攻击维度

在上一节列出的TTP中，没有考虑到Rocke恶意运营者潜在的第三阶段。在分析Godlua后门之前，Rocke恶意软件似乎在被攻陷的云系统上执行单一的运营功能。在Godlua的报告中，描述了包含类似于Rocke的TTP的恶意软件样本。经过进一步研究，Unit 42确认不仅其TTP匹配，而且其硬编码域名、URL和IP地址与先前报告的Rocke恶意软件硬编码值重叠。由于针对r/LinuxMalware的事件调查结果已经在Subreddit上发布，调查结果包括恶意软件样本元数据也已经上传到GitHub，因此就可以进行此类横向对比分析。Reddit帖子的作者经营着非营利组织MalwareMustDie，这是一个致力于打击互联网恶意软件的白帽组织。Unit 42的研究人员分析了Reddit中列出的四个二进制文件，并确认了样本中包含的硬编码Rocke域名systemten[.]org，这在Reddit中有所说明。该样本还包含与已知Rocke报告重叠的Pastebin URL的硬编码链接：

· hxxps://pastebin[.]com/raw/HWBVXK6H

· hxxps://pastebin[.]com/raw/60T3uCcb

· hxxps://pastebin[.]com/raw/rPB8eDpu

· hxxps://pastebin[.]com/raw/wR3ETdbi

· hxxps://pastebin[.]com/raw/Va86JYqw

· hxxps://pastebin[.]com/raw/Va86Jyqw

正如Godlua的博客中所见，IP地址104.238.151[.]101和URL d.heheda[.]tk、c.heheda[.]tk、dd.heheda[.]tk被发现是硬编码的IP和URL。根据Reddit发布的Rocke恶意组织相关事件应急响应过程，也发现C2连接被发送到3个heheda[.]tk域名，这些域名被解析到IP地址104.238.151[.]101，同样在Godlua报告中出现过。另外，恶意样本包含已知的Rocke域名sowcar[.]com、z9ls[.]com、baocangwh[.]cn、gwjyhs[.]com和w2wz[.]cn。有关如何根据已识别的威胁指标（IoC）将已知的Rocke域名与已知的Godlua域名联系起来，请参见下图。

Godlua样本值得关注的一个原因是，Rocke恶意组织已经将DoS（拒绝服务）操作添加到该恶意组织的工具包之中。该报告提供的证据表明，Rocke已经添加了第三阶段恶意软件组件，该组件向c.heheda[.]tk或c.cloudappconfig[.]com执行第三个C2请求，从而下载名为Godlua的LUA脚本。该恶意软件似乎在Rocke的恶意运营中提供了模块化功能。除DoS功能外，恶意软件还引入了以下新的功能：

· HANDSHAKE（握手）

· HEARTBEAT（心跳）

· LUA

· SHELL

· UPGRADE（升级）

· QUIT（退出）

· SHELL2

· PROXY（代理）

Godlua的报告中，还提供了Rocke已经添加LUA切换功能的证据。报告指出，攻击者对域名www.liuxiaobei[.]com进行了DoS攻击。在撰写本文时，该域名无法解析到任何已知的主机。目前尚不清楚第三阶段的恶意软件实现了哪些其他功能。但是，其中的“Shell”、“Shell2”、“Upgrade”和“Proxy”等选项，说明该恶意软件可能是模块化系统代理的一个开始，从而允许Rocke攻击者在加密数据或执行挖矿之外，执行灵活的其他破坏或攻击行为。

从NetFlow中寻找Rocke的踪迹

截至撰写本文时，Unit 42团队的研究人员发现，在被调查的云环境中，有28.1%的主机至少与已知的Rocke C2域名进行过一次活动通信会话。从2018年12月至今，这些通信几乎每天都会发生。通过在组织内部或云端上捕获NetFlow通信，可以实现对这些通信的识别。

Unit 42的研究人员通过分析Rocke的TTP模式，将已知的Rocke域名解析为在指定时间范围内使用的IP地址，并根据这些已经解析的IP地址以及与Rocke相关的硬编码IP地址104.238.151[.]101来查询网络流量，从而发现了Rocke通信。

这一硬编码的IP地址与该恶意组织的已知恶意网络流量具有强相关性。已知自2019年1月1日开始，直到撰写本文时，104.238.151[.]101已经被解析到以下URL：

· c.cloudappconfig[.]com

· d.cloudappconfig[.]com

· f.cloudappconfig[.]com

· img0.cloudappconfig[.]com

· img2.cloudappconfig[.]com

· v.cloudappconfig[.]com

· c.heheda[.]tk

· d.heheda[.]tk

· dd.heheda[.]tk

上述URL与Godlua和Reddit报告中的URL一致，表示与此IP地址的任何连接都应该被视为恶意。Unit 42的研究人员确定了来自4个受监控组织的411个独特连接，这些组织与IP地址104.238.151[.]101建立了八个或更多完全建立的网络连接。这些连接仅仅在短时间内存在于每个组织之中。针对第一个组织，第一次出现的连接和最后一次出现的连接间隔了4天。而针对第四个组织来说，单个连接的最短时间范围为1小时。

与硬编码IP 104.238.151[.]101连接的组织：

根据104.238.151[.]101推断，这四个组织也与其他已知的Rocke域名相关联。组织1在2019年4月12日至5月31日期间连接到3个Rocke域名，产生了290个独特的连接。组织4在2019年3月20日至5月15日期间连接到7个域名，产生了8231个独特的连接。如下表所示，四个组织在与硬编码IP地址104.238.151[.]101连接的相同时间范围内，还连接到7个已知Rocke域名中的一个或多个。上述证据强烈支撑了域名heheda[.]tk和cloudappcloudconfig[.]com被Rocke恶意组织所使用的推断，Rocke的第三阶段恶意软件也在相同的时间范围内可用。

与IP 104.238.151[.]101相关联的所有Rocke域名的比较：

Unit 42研究人员将调查推向了一个新的高度，并且确定了所有受监控的组织与所有已知的Rocke恶意域名具有联系。研究人员发现，28.1%的云环境中至少包含一个与已知Rocke域名完全建立通信的网络连接。最早发现的连接发生在2018年12月4日，这样的连接行为至少持续到2019年6月10日，在这段时间内，与sowcar[.]com和w2wz[.]cn域名有146个独特的连接。

Rocke的网络流量模式

最后，Unit 42的研究人员试图确定是否可以使用NetFlow数据识别出从Pastebin下载的初始Payload。研究人员发现，共有50个组织和Pastebin建立了网络连接。在这50个组织中，有8个组织在与Rocke域名连接的同一个小时内与Pastebin建立了网络连接。由于NetFlow流量仅允许将精度设置为最小一个小时，并且没有进行完整的数据包捕获，无法让我们确认网络连接的性质，因此无法准确地确定组织被攻陷的时间。但是，这些事件指向了关键的时间范围，如果可以的话，应该进一步调查完整的数据包捕获。

在查看RockF网络流量在NetFlow数据中的显示方式时，会发现一种截然不同的模式。首先，使用Pastebin建立连接，然后连接到Rocke域名。从下图中可以看出，该模式每小时重复一次，这是信标功能的另一个指标，证明了已经安装到云系统上的第三阶段Rocke Payload的存在。此外，下图展现了连接到Pastebin的源系统的唯一出现，然后连接到已知的Rocke恶意域名z9ls[.]com和systemten[.]org，并在同一时间的框架内连接到硬编码的IP地址104.238.151[.]101。该模式表示信标或心跳的活动，这也是第三阶段恶意软件功能集中的功能。

独特的Rocke NetFlow模式：

缓解策略

要在云环境中缓解Rocke的恶意活动，建议执行以下操作：

1、使用最新的补丁程序和版本更新，更新所有云系统模板。

2、定期更新所有云系统，以使用最新的补丁和更新的云模板。

3、购买并配置云监控产品，确保其中包括对合规性、网络流量和用户行为的检查。

4、确认云网络配置、安全策略和组，确保上述内容符合当前的合规性要求。

5、使用云容器漏洞扫描程序。

6、更新提供恶意域名或恶意IP黑名单指标的所有威胁情报源。

7、购买或订阅Palo Alto Networks MineMeld威胁源，或使用Palo Alto Networks下一代防火墙，其默认选项已经配置为阻止已知的Rocke域和IP连接。

8、调查云网络流量中，是否存在已经连接到已知恶意域名或恶意IP的数据包。

9、调查组织云环境中的云网络流量，其出口流量是否包含信标。

总结

Rocke恶意组织主要针对公共云基础架构发动攻击，以获取犯罪收益，该恶意组织持续发展其工具，并利用2016和2017年发布的漏洞攻陷配置不当的云基础架构。该恶意组织可以使用能够保持隐藏的恶意软件，获得对云系统的管理员访问权限。随后，被攻陷的系统可以对已知的Rocke硬编码IP地址或Rocke拥有的域名执行可预测和可检测的网络操作。

Palo Alto Networks的客户可以受到如下保护：

我们的PAN-DB URL过滤将本文中所列出的C2域名标识为恶意。

上传到WebShell的所有非法工具都会被WildFire和Traps识别为恶意工具。

ELF和PE格式的恶意软件签名已经通过反病毒软件发布。

PAN-DB URL过滤中包含了所有C2域名。

AutoFocus客户可以使用以下标签调查此恶意活动：

· IronCybercrimeGroup

· Xbash

· Kerberods

· Godlua

Palo Alto Networks与我们的网络威胁联盟成员分享了我们的研究成果，包括文件样本和威胁指标。CTA成员利用这种智能、快速的部署方式实现对客户的保护，并系统地打击恶意网络参与者。有关网络威胁联盟的更多信息，请访问www.cyberthreatalliance.org。

威胁指标

域名：

sowcar[.]com

thyrsi[.]com

w2wz[.]cn

baocangwh[.]cn

z9ls[.]com

gwjyhs[.]com

heheda[.]tk

cloudappconfig[.]com

systemten[.]org

IP：

43.224.225[.]220

67.21.64[.]34

103.52.216[.]35

104.248.53[.]213

104.238.151[.]101

198.204.231[.]250

205.185.122[.]229

哈希值：

1608899ff3bd9983df375fd836464500f160f6305fcc35cfb64abbe94643c962

28f92f36883b69e281882f19fec1d89190e913a4e301bfc5d80242b74fcba6fe

a84283095e0c400c3c4fe61283eca6c13dd0a6157a57adf95ae1dcec491ec519

6797018a6f29ce3d447bd3503372f78f9513d4648e5cd3ab5ab194a50c72b9c4