对云盘算的庞大要挟:Rocke歹意构造调查报告 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

对云盘算的庞大要挟:Rocke歹意构造调查报告

实行择要

Unit 42团队用了六个月的时候研讨了位于中国的收集犯法集团Rocke,该歹意构造是针对云盘算范畴最著名的要挟行动者。在我们近来宣布的云要挟报告中,宣布了对Rocke的观察结果。该研讨报告深入剖析了我们针对Rocke的观察结果,发明该歹意构造可以在险些没有滋扰和有限检测风险的情况下展开业务。

经由历程对2018年12月至2019年6月16日的NetFlow数据举行剖析,我们发如今剖析的云环境中,有28.1%最少存在一个完全竖立的收集衔接,最少有一个已知的Rocke敕令和掌握(C2)域。个中一些构造,险些与进击者坚持着逐日的通讯联络。与此同时,有20%的构造坚持每小时的心跳衔接,该特性与Rocke的战术、手艺和顺序(TTP)一致。

该歹意构造还宣布了一个名为Godlua的新型东西,该东西可以充任代办,许可该歹意构造的成员实行其他剧本操纵,包括拒绝服务(DoS)进击、收集代办和两个Shell功用。Unit 42还发明了NetFlow流量中的收集流量辨认形式,这些形式供应了针对Rocke TTP以及防御者怎样开辟检测功用的奇特看法。

关于Rocke歹意构造

Rocke,又称为Iron构造、SystemTen、Kerberods/Khugepageds,此前Rocke的歹意运动在2018年8月被表露。在此之后,研讨人员宣布了关于该歹意构造所运用的Golang编程言语和新后门Godlua的研讨结果。有一篇研讨文章将Rocke歹意运营关联到MITRE ATT&CK框架。Unit 42还宣布了关于该构造的Xbash讹诈软件东西及其云平安回避和加密钱银挖矿手艺的剖析文章。

Rocke最初经由历程运用针对Linux体系的Xbash东西,展开讹诈软件相干的歹意运动,运用一种功用上类似于NotPetya的数据损坏歹意软件。NotPetya运用EternalBlue(永久之蓝)破绽应用收集举行流传。Xbash运用了构造未修复的破绽以及弱暗码举行横向挪动,这一历程可以会限定其团体效力。当Rocke进击某一个特定构造时,它要求受害者付出0.2、0.15或0.02比特币(BTC)从而恢复丧失的数据。然则,因为Xbash在要求讹诈赎金之前就已删除了数据库表,因而纵然付出了赎金,Rocke也没法恢复任何数据。在Unit 42宣布此研讨成果时,Rocke的BTC钱包仅仅有48次转账,总计0.964 BTC(依据当前汇率折合为10130美圆)。

Rocke的加密钱银挖矿运营

与Rocke的Xbash歹意软件一样,该构造的第一个加密钱银发掘运营是运用Python编写的,并运用Pastebin或GitHub作为下载第一阶段Payload的代码存储库。停止2019年3月12日,Rocke歹意进击者也最先运用Golang言语。第一阶段Payload指导受害者的体系衔接到硬编码的Rocke域名或IP地点,这将会触发第二阶段Payload的下载。

Unit 42视察到了奇特的12步运营形式,自Rocke初次被发明以来,这一作风好像坚持一致:

1、歹意进击者将第一个Payload上传到第三方站点(比方:Pastebin或GitHub);

2、应用鱼叉式收集垂纶等体式格局,引诱受害者接见Pastebin或GitHub;

3、应用Oracle WebLogic、Adobe ColdFusion、Apache Struts等已知破绽;

4、受害者下载Shell Scripts或JavaScript Backdoor等后门;

5、受害者经由历程Python或Golang剧本运转第一个Payload,并衔接到C2服务器;

6、下载并实行第二个Payload剧本,取得对体系的管理员接见权限;

7、经由历程cron使命敕令建立持久性;

8、搜刮并封闭之前装置的加密钱银挖矿历程;

9、增加IPtables以阻挠未来可以存在的加密钱银挖矿历程;

10、卸载基于代办的云平安东西(比方:腾讯云、阿里云);

11、下载并装置门罗币(Monero)挖矿软件;

12、Rootkit XMRig挖矿历程经由历程Linux“ps”敕令运用libprocesshider。

Rocke基本设施

停止撰写本文时,我们经由历程硬编码的IP地点、URL地点或域名注册信息(比方:WHOIS注册人电子邮件地点),将8个域名与Rocke C2运营者联络起来。下面列出了域名对应的Rocke歹意构造基本架构。

域名:sowcar[.]com

Rocke的衔接体式格局:硬编码IOC

衔接信息:[email protected][.]com

关联IP:

23.234.4[.]151

23.234.4[.]153

27.221.28[.]231

27.221.54[.]252

36.103.236[.]221

36.103.247[.]121

36.248.26[.]205

42.202.141[.]230

42.236.125[.]84

42.56.76[.]104

43.242.166[.]88

59.83.204[.]14

60.167.222[.]122

61.140.13[.]251

104.31.68[.]79

104.31.69[.]79

113.142.51[.]219

113.200.16[.]234

116.211.184[.]212

118.213.118[.]94

118.25.145[.]24

122.246.6[.]183

125.74.45[.]101

150.138.184[.]119

182.118.11[.]126

182.118.11[.]193

182.247.250[.]251

182.247.254[.]83

183.224.33[.]79

211.91.160[.]159

211.91.160[.]238

218.75.176[.]126

219.147.231[.]79

221.204.60[.]69

域名:thyrsi[.]com

Rocke的衔接体式格局:WHOIS注册

衔接信息:[email protected][.]com

关联IP:

23.234.4[.]151

23.234.4[.]153

103.52.216[.]35

104.27.138[.]223

104.27.139[.]223

205.185.122[.]229

209.141.41[.]204

域名:w2wz[.]cn

Rocke的衔接体式格局:WHOIS注册

衔接信息:[email protected][.]com

关联IP:

36.103.236[.]221

36.103.247[.]121

42.202.141[.]230

58.215.145[.]137

58.216.107[.]77

58.218.208[.]13

60.167.222[.]122

61.140.13[.]251

113.142.51[.]219

113.96.98[.]113

116.211.184[.]212

118.213.118[.]94

118.25.145[.]241

121.207.229[.]203

122.246.20[.]201

125.74.45[.]101

140.249.61[.]134

150.138.184[.]119

182.118.11[.]193

182.247.250[.]251

218.75.176[.]126

219.147.231[.]79

222.186.49[.]224

域名:baocangwh[.]cn

Rocke的衔接体式格局:WHOIS注册

衔接信息:[email protected][.]com

关联IP:

103.52.216[.]35

104.18.38[.]253

104.18.39[.]253

104.31.92[.]26

104.31.93[.]26

119.28.48[.]240

205.185.122[.]229

域名:z9ls[.]com

Rocke的衔接体式格局:WHOIS注册

衔接信息:[email protected][.]com

关联IP:

103.52.216[.]35

104.27.134[.]168

104.27.135[.]168

104.31.80[.]164

104.31.81[.]164

172.64.104[.]10

172.64.105[.]10

205.185.122[.]229

域名:gwjyhs[.]com

Rocke的衔接体式格局:硬编码的域名

衔接信息:gwjyhs[.]com

关联IP:

103.52.216[.]35

104.27.138[.]191

Google研究人员宣布20岁的Windows CTF协定0 day破绽

Google Project Zero团队安全研究人员Tavis Ormandy近日公布了Windows操作系统中存在长达20年的0 day漏洞细节。 该漏洞被评为高危漏洞,影响Windows XP以来的所有Windows版本。Ormandy透露了Windows kernel中msCTF模块中的多个设计安全问题。 Msctf子系统是Text Services Framework (TSF)框架的一部分,用来管理输入方法、键盘布局、文本处理等任务。TSF由 ctfmon服务器和MSCTF客户端组成。 漏洞位于MSCTF客户端和服务器通信的方式中,利用该漏洞可以使低权限或沙箱中的应用在高权限的应用中读写数据。由于缺乏访问控制和认证,因此任何应用、用户、沙箱进程都

104.27.139[.]191

205.185.122[.]229

域名:heheda[.]tk

Rocke的衔接体式格局:硬编码IP或域名

衔接信息:

104.238.151.101

c.heheda[.]tk

d.heheda[.]tk

dd.heheda[.]tk

关联IP:

104.18.58[.]79

104.18.59[.]79

104.238.151[.]101

195.20.40[.]95

198.204.231[.]250

域名:cloudappconfig[.]com

Rocke的衔接体式格局:硬编码IP或域名

衔接信息:

104.238.151.101

c.cloudappconfig[.]com

img0.cloudappconfig[.]com

Img1.cloudappconfig[.]com

img2.cloudappconfig[.]com

关联IP:

43.224.225[.]220

67.21.64[.]34

104.238.151[.]101

198.204.231[.]250

域名:systemten[.]org

Rocke的衔接体式格局:硬编码的域名

衔接信息:systemten[.]org

关联IP:

104.248.53[.]213

104.31.92[.]233

104.31.93[.]233

134.209.104[.]20

165.22.156[.]147

185.193.125[.]146

Rocke的新进击维度

在上一节列出的TTP中,没有考虑到Rocke歹意运营者潜伏的第三阶段。在剖析Godlua后门之前,Rocke歹意软件好像在被攻下的云体系上实行单一的运营功用。在Godlua的报告中,形貌了包括类似于Rocke的TTP的歹意软件样本。经由进一步研讨,Unit 42确认不仅其TTP婚配,而且其硬编码域名、URL和IP地点与先前报告的Rocke歹意软件硬编码值堆叠。因为针对r/LinuxMalware的事宜观察结果已在Subreddit上宣布,观察结果包括歹意软件样本元数据也已上传到GitHub,因而就可以举行此类横向对照剖析。Reddit帖子的作者运营着非营利构造MalwareMustDie,这是一个致力于袭击互联网歹意软件的白帽构造。Unit 42的研讨人员剖析了Reddit中列出的四个二进制文件,并确认了样本中包括的硬编码Rocke域名systemten[.]org,这在Reddit中有所申明。该样本还包括与已知Rocke报告堆叠的Pastebin URL的硬编码链接:

· hxxps://pastebin[.]com/raw/HWBVXK6H

· hxxps://pastebin[.]com/raw/60T3uCcb

· hxxps://pastebin[.]com/raw/rPB8eDpu

· hxxps://pastebin[.]com/raw/wR3ETdbi

· hxxps://pastebin[.]com/raw/Va86JYqw

· hxxps://pastebin[.]com/raw/Va86Jyqw

正如Godlua的博客中所见,IP地点104.238.151[.]101和URL d.heheda[.]tk、c.heheda[.]tk、dd.heheda[.]tk被发明是硬编码的IP和URL。依据Reddit宣布的Rocke歹意构造相干事宜应急相应历程,也发明C2衔接被发送到3个heheda[.]tk域名,这些域名被剖析到IP地点104.238.151[.]101,同样在Godlua报告中涌现过。别的,歹意样本包括已知的Rocke域名sowcar[.]com、z9ls[.]com、baocangwh[.]cn、gwjyhs[.]com和w2wz[.]cn。有关怎样依据已辨认的要挟目标(IoC)将已知的Rocke域名与已知的Godlua域名联络起来,请拜见下图。

对云盘算的庞大要挟:Rocke歹意构造调查报告

Godlua样本值得关注的一个原因是,Rocke歹意构造已将DoS(拒绝服务)操纵增加到该歹意构造的东西包当中。该报告供应的证据表明,Rocke已增加了第三阶段歹意软件组件,该组件向c.heheda[.]tk或c.cloudappconfig[.]com实行第三个C2要求,从而下载名为Godlua的LUA剧本。该歹意软件好像在Rocke的歹意运营中供应了模块化功用。除DoS功用外,歹意软件还引入了以下新的功用:

· HANDSHAKE(握手)

· HEARTBEAT(心跳)

· LUA

· SHELL

· UPGRADE(晋级)

· QUIT(退出)

· SHELL2

· PROXY(代办)

Godlua的报告中,还供应了Rocke已增加LUA切换功用的证据。报告指出,进击者对域名www.liuxiaobei[.]com举行了DoS进击。在撰写本文时,该域名没法剖析到任何已知的主机。现在尚不清晰第三阶段的歹意软件完成了哪些其他功用。然则,个中的“Shell”、“Shell2”、“Upgrade”和“Proxy”等选项,申明该歹意软件多是模块化体系代办的一个最先,从而许可Rocke进击者在加密数据或实行挖矿以外,实行天真的其他损坏或进击行动。

从NetFlow中寻觅Rocke的踪影

停止撰写本文时,Unit 42团队的研讨人员发明,在被观察的云环境中,有28.1%的主机最少与已知的Rocke C2域名举行过一次运动通讯会话。从2018年12月至今,这些通讯险些天天都邑发作。经由历程在构造内部或云端上捕捉NetFlow通讯,可以完成对这些通讯的辨认。

Unit 42的研讨人员经由历程剖析Rocke的TTP形式,将已知的Rocke域名剖析为在指定时候局限内运用的IP地点,并依据这些已剖析的IP地点以及与Rocke相干的硬编码IP地点104.238.151[.]101来查询收集流量,从而发明了Rocke通讯。

这一硬编码的IP地点与该歹意构造的已知歹意收集流量具有强相干性。已知自2019年1月1日最先,直到撰写本文时,104.238.151[.]101已被剖析到以下URL:

· c.cloudappconfig[.]com

· d.cloudappconfig[.]com

· f.cloudappconfig[.]com

· img0.cloudappconfig[.]com

· img2.cloudappconfig[.]com

· v.cloudappconfig[.]com

· c.heheda[.]tk

· d.heheda[.]tk

· dd.heheda[.]tk

上述URL与Godlua和Reddit报告中的URL一致,示意与此IP地点的任何衔接都应当被视为歹意。Unit 42的研讨人员肯定了来自4个受监控构造的411个奇特衔接,这些构造与IP地点104.238.151[.]101竖立了八个或更多完全竖立的收集衔接。这些衔接仅仅在短时候内存在于每一个构造当中。针对第一个构造,第一次涌现的衔接和末了一次涌现的衔接间隔了4天。而针对第四个构造来讲,单个衔接的最短时候局限为1小时。

与硬编码IP 104.238.151[.]101衔接的构造:

对云盘算的庞大要挟:Rocke歹意构造调查报告

依据104.238.151[.]101揣摸,这四个构造也与其他已知的Rocke域名相干联。构造1在2019年4月12日至5月31日时期衔接到3个Rocke域名,产生了290个奇特的衔接。构造4在2019年3月20日至5月15日时期衔接到7个域名,产生了8231个奇特的衔接。以下表所示,四个构造在与硬编码IP地点104.238.151[.]101衔接的雷同时候局限内,还衔接到7个已知Rocke域名中的一个或多个。上述证据猛烈支撑了域名heheda[.]tk和cloudappcloudconfig[.]com被Rocke歹意构造所运用的揣摸,Rocke的第三阶段歹意软件也在雷同的时候局限内可用。

与IP 104.238.151[.]101相干联的一切Rocke域名的比较:

对云盘算的庞大要挟:Rocke歹意构造调查报告

对云盘算的庞大要挟:Rocke歹意构造调查报告

对云盘算的庞大要挟:Rocke歹意构造调查报告

对云盘算的庞大要挟:Rocke歹意构造调查报告

Unit 42研讨人员将观察推向了一个新的高度,而且肯定了一切受监控的构造与一切已知的Rocke歹意域名具有联络。研讨人员发明,28.1%的云环境中最少包括一个与已知Rocke域名完全竖立通讯的收集衔接。最早发明的衔接发作在2018年12月4日,如许的衔接行动最少延续到2019年6月10日,在这段时候内,与sowcar[.]com和w2wz[.]cn域名有146个奇特的衔接。

Rocke的收集流量形式

末了,Unit 42的研讨人员试图肯定是不是可以运用NetFlow数据辨认出从Pastebin下载的初始Payload。研讨人员发明,共有50个构造和Pastebin竖立了收集衔接。在这50个构造中,有8个构造在与Rocke域名衔接的同一个小时内与Pastebin竖立了收集衔接。因为NetFlow流量仅许可将精度设置为最小一个小时,而且没有举行完全的数据包捕捉,没法让我们确认收集衔接的性子,因而没法正确地肯定构造被攻下的时候。然则,这些事宜指向了症结的时候局限,假如可以的话,应当进一步观察完全的数据包捕捉。

在检察RockF收集流量在NetFlow数据中的显现体式格局时,会发明一种判然不同的形式。起首,运用Pastebin竖立衔接,然后衔接到Rocke域名。从下图中可以看出,该形式每小时反复一次,这是信标功用的另一个目标,证明了已装置到云体系上的第三阶段Rocke Payload的存在。另外,下图展示了衔接到Pastebin的源体系的唯一涌现,然后衔接到已知的Rocke歹意域名z9ls[.]com和systemten[.]org,并在同一时候的框架内衔接到硬编码的IP地点104.238.151[.]101。该形式示意信标或心跳的运动,这也是第三阶段歹意软件功用集合的功用。

奇特的Rocke NetFlow形式:

对云盘算的庞大要挟:Rocke歹意构造调查报告

减缓战略

要在云环境中减缓Rocke的歹意运动,发起实行以下操纵:

1、运用最新的补丁顺序和版本更新,更新一切云体系模板。

2、按期更新一切云体系,以运用最新的补丁和更新的云模板。

3、购置并设置云监控产物,确保个中包括对合规性、收集流量和用户行动的搜检。

4、确认云收集设置、平安战略和组,确保上述内容相符当前的合规性要求。

5、运用云容器破绽扫描顺序。

6、更新供应歹意域名或歹意IP黑名单目标的一切要挟情报源。

7、购置或定阅Palo Alto Networks MineMeld要挟源,或运用Palo Alto Networks下一代防火墙,其默许选项已设置为阻挠已知的Rocke域和IP衔接。

8、观察云收集流量中,是不是存在已衔接到已知歹意域名或歹意IP的数据包。

9、观察构造云环境中的云收集流量,其出口流量是不是包括信标。

总结

Rocke歹意构造重要针对大众云基本架构发起进击,以猎取犯法收益,该歹意构造延续发展其东西,并应用2016和2017年宣布的破绽攻下设置不当的云基本架构。该歹意构造可以运用可以坚持隐蔽的歹意软件,取得对云体系的管理员接见权限。随后,被攻下的体系可以对已知的Rocke硬编码IP地点或Rocke具有的域名实行可展望和可检测的收集操纵。

Palo Alto Networks的客户可以遭到以下庇护:

我们的PAN-DB URL过滤将本文中所列出的C2域名标识为歹意。

上传到WebShell的一切不法东西都邑被WildFire和Traps辨认为歹意东西。

ELF和PE花样的歹意软件署名已经由历程反病毒软件宣布。

PAN-DB URL过滤中包括了一切C2域名。

AutoFocus客户可以运用以下标签观察此歹意运动:

· IronCybercrimeGroup

· Xbash

· Kerberods

· Godlua

Palo Alto Networks与我们的收集要挟同盟成员分享了我们的研讨成果,包括文件样本和要挟目标。CTA成员应用这类智能、疾速的布置体式格局完成对客户的庇护,并体系地袭击歹意收集参与者。有关收集要挟同盟的更多信息,请接见www.cyberthreatalliance.org。

要挟目标

域名:

sowcar[.]com

thyrsi[.]com

w2wz[.]cn

baocangwh[.]cn

z9ls[.]com

gwjyhs[.]com

heheda[.]tk

cloudappconfig[.]com

systemten[.]org

IP:

43.224.225[.]220

67.21.64[.]34

103.52.216[.]35

104.248.53[.]213

104.238.151[.]101

198.204.231[.]250

205.185.122[.]229

原文地点: https://www.4hou.com/business/19670.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明对云盘算的庞大要挟:Rocke歹意构造调查报告
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址