Outlaw組織殭屍網路分析:加密貨幣挖礦、掃描、暴力破解
研究人員之前曾分析過一個使用Internet Relay Chat (IRC) bot的名為Outlaw的殭屍網路。本文分析研究人員利用IoT蜜罐系統發現的該組織運營的一個殭屍網路。攻擊bot使用haiduc工具來搜尋網路尋找攻擊目標。如果成功利用了一些漏洞,就在受害者主機上執行min.sh指令碼。
本文分析Outlaw攻擊活動的兩個變種。Bot主機第一個變種使用的指令碼有兩個功能:挖礦機和基於Haiduc的dropper。挖礦部分的程式碼有兩個form表單。其中一個是明文bash/perl指令碼,另一個是混淆的Perl指令碼變種,可以繞過基於內容檢測的IPS和防火牆的檢測。Bot主機傳播的第二個變種程式碼是用來暴力破解和利用微軟Remote Desktop Protocol協議和雲管理cPanel來進行許可權提升的。
變種1
挖礦機會下載和執行Monero挖礦,使用的二進位制檔案可以執行在Linux和安卓系統上。挖礦機變種首先會檢查系統中是否執行著其他挖礦機。如果發現存在其他挖礦機,指令碼就會殺掉其他挖礦機的程序,並開始執行自己的挖礦機。也就是說殭屍主機可以劫持來自其他不相關的殭屍網路主機的挖礦活動。一些Mirai變種也有這樣的能力,但與這樣Mirai變種不同的是,殭屍主機不會修復受害者主機來預防之後的感染或重感染。
挖礦活動開始後,殭屍主機會檢查程序列表以確定挖礦機是否在執行。如果沒有執行,就從源地址再次下載惡意檔案並重新開始挖礦程序,包括檢查其他挖礦機是否存在。程序允許攻擊者從別的攻擊者處竊取已有的被黑的挖礦機,並且用更新的挖礦機來重感染主機,這樣就可以在攻擊者的XMR錢包被劫持後繼續攻擊活動。
一旦挖礦活動建立後,挖礦機就可以通過被黑的網站報告給其屬主,被黑的站點儲存有一個名字隨機生成的PHP指令碼。
指令碼的其他部分主要是殭屍繁殖,使用的是Outlaw組織之前使用過的haiduc工具。haiduc工具集變種被用來暴力破解執行SSH服務的有漏洞的主機。如果暴力破解成功,就執行傳播殭屍主機的命令。這是通過執行命令來安裝min.sh指令碼來實現的。然後通過PHP指令碼掃描不同的目標,通過郵件傳送掃描結果到殭屍管理員,這也是通過硬編碼的PHP指令碼實現的。與上次使用IRC構建殭屍網路不同的是,這次殭屍是通過PHP來控制的。但是挖礦機檔案、haiduc工具集都來自於同一組織。
感染的主機從URL hxxp://www[.]karaibe.us/.foo/min.sh下載惡意shell指令碼。有趣的是,網頁原始碼中嵌入了一個Google分析指令碼,這樣殭屍管理員就可以監控整個攻擊活動了。目前,該域名被解析為籃球聯賽排名的網站。這也是Outlaw組織的核心活動之一就是利用網站的PHP漏洞來獲取新的C2或內容分發伺服器。
感染指令碼min.sh
圖1. min.sh指令碼
挖礦活動
指令碼的第一個部分就是下載挖礦二進位制檔案和其他檔案。攻擊者可以新增另一個伺服器/域名到命令中來確保不會因為一個系統的下線導致攻擊被攔截。然後提取下載的檔案,並將工作目錄移動到隱藏的.bin中。使用隱藏目錄可以使系統管理員難以發現執行的挖礦機。然後執行XMR挖礦二進位制檔案,轉發結果到/dev/null。
掃描活動
下一步工作目錄會被修改為/tmp。隱藏的.vd目錄檔案會被移除來確保只有當前指令碼執行。然後,下載、提取和裕興sslm.tgz。這個基於haiduc的掃描器位於C2伺服器,可以使用PHP指令碼生成目標。然後傳送被黑主機的the introduction到另一個位於 hxxp://www[.]karaibe[.]us/[.]foo/remote/info[.]php的PHP指令碼。 
圖2. 到C2的POST請求
在傳送introduction到C2後,會將工作目錄修改會/tmp並從受感影響的系統中移除感染指令碼。
變種2
研究人員之前已經分析過haiduc工具集了,但這兩個haiduc變種有個之前沒有發現過的功能:測試獲取的目標系統是否執行RDP協議或cPanel。RDP用於Windows主機和伺服器的遠端管理,cPanel是一款開源的雲管理介面。如果在目標主機上發現任意一個服務,就儲存並用於下一步的利用。
通過RDP協議掃描
在Shodan搜尋發現網上有成百上千的開放RDP埠的伺服器。一旦被黑,攻擊者可以獲取網路上另一個子網的訪問許可權,竊取敏感資訊,監控個人,控制工業控制系統等等。
下圖中的指令碼被是用來執行Perl指令碼psc2的,即搜尋RDP相關的開放埠。結果會反饋給一個工具rdp,rdp會獲取psc2提供的遠端主機地址並嘗試登陸。攻擊者會使用該指令碼的變種來進行進一步的攻擊。
圖3. 執行Perl指令碼 psc2 和rdp攻擊的變種1
第二個變種已經為基於PHP的C2控制做好了準備,其中引數中包含class檔案。其中class檔案的一個變種列出了已知的企業名稱,另一個變種列出了基於地理位置的IP地址class。該指令碼首先執行基於perl的埠掃描器,其結果提供給drp工具,該工具是一個嵌入的wordlist,有3811行生成的憑證。
圖4. 執行perl指令碼psc2和rdp工具的指令碼的第二個變種
通過cPanel攻擊雲
cPanel是一個有通用管理介面的雲託管平臺。常被中小型企業用於管理私有云。對cPanel的攻擊會影響大量的使用者,因為攻擊者可以劫持整個含有敏感資料的雲基礎設施。cPanel會公開雲管理介面的登陸介面,而該介面位於企業的子域名上。攻擊者就是利用該習慣發起攻擊的。
與RDP類似,攻擊者會使用受害者列表而不是掃描整個網路。每個主機都會被列舉來確定是否有使用了非惡意指令碼bing-ip2hosts的子域名。輸出的結果叫做bios會被反饋給暴力破解工具brute。
圖5. cPanel攻擊指令碼
結論
黑客組織Outlaw的殭屍網路正在不斷髮展中,攻擊者使用PHP來實現C2的能力來克服IRC的一些缺點。該組織傾向於使用已有的黑客工具和haiduc工具,這些工具都會封裝到bash檔案中的,所以普通使用者都可以執行這些工具。Haiduc這個工具本身就很可疑,因此會被低互動的蜜罐系統監控到。
除了工具外,該組織還在不斷地發展新目標。截至目前,員工有18萬被黑的主機和2萬個新被黑的主機,其中包括IoT系統、不同的網站、基於雲的虛擬所有伺服器(VPS)、被黑的Windows伺服器等等。
基於安卓的移動裝置也會受影響。但需要機主先root裝置,或用chrooted的基於Linux的系統執行受感染的檔案。研究任意發現可以通過安卓裝置上的惡意軟體來檢測真實的IP或位置。
Outlaw組織的目標應該是首先構建一個可以發起DDoS攻擊的基礎裝置,然後使用暴力破解使用SSH服務的機器來擴大殭屍網路的規模,最後通過加密貨幣挖礦來盈利。