Lucifer僵尸网络软件瞄准Apache大数据产品

本文内容来自转载，且为译文。内容来源：https://www.aquasec.com/blog/lucifer-ddos-botnet-malware-is-targeting-apache-big-data-stack/

Aqua Nautilus 推出了一项针对 Apache 大数据堆栈的新活动，特别是 Apache Hadoop 和 Apache Druid。经调查发现，攻击者利用Apache云蜜罐中现有的错误配置和漏洞来执行攻击。

该活动采用了著名的 DDoS 僵尸网络的新变种，该僵尸网络专注于易受攻击的 Linux 系统，将它们转换为称为 Lucifer 恶意软件的门罗币加密挖矿机器人。在这篇博客中，我们将深入探讨攻击者如何利用漏洞和错误配置来启动活动，说明活动的各个阶段，并重点介绍在整个操作过程中观察到的差异。

Apache 大数据堆栈

Apache 被公认为支持众多开源软件项目的开源软件基金会。Apache 官方网站指出，它托管了 320 多个活跃项目，有超过 8,000 名贡献者为各种努力做出了贡献。广泛的活动范围为攻击者提供了对各种 Apache 工具发起攻击的机会。我们的团队通过利用我们的云蜜罐来跟踪新的模式和行为，从而积极监控这一趋势。在过去的一年里，我们观察到对Apache大数据堆栈的攻击持续增加。仅在上个月，我们的监控就检测到了 3,000 多起针对这些解决方案（Apache Hadoop、Apache Druid 和 Apache Flink）的不同攻击。

这篇博客中讨论的正在进行的活动围绕着两个重要的 Apache 大数据解决方案——Hadoop 和 Druid：

1. Apache Hadoop 是一个开源框架，专为大规模数据的批处理而设计，允许使用简单的编程模型在计算机集群中以可靠和分布式的方式存储和检索大量数据。它的一个模块是Apache YARN（Yet Another Resource Negotiator），这是一个用于作业调度和集群资源管理的框架。它允许在 Hadoop 集群中实现更灵活、更动态的资源管理，从而使更广泛的应用程序和工作负载能够在 Hadoop 基础架构上运行。
2. Apache Druid 是一个开源的高性能数据库，旨在对大量数据进行实时分析。它提供对大型数据集的快速和交互式分析，这对于获得洞察力和做出数据驱动的决策至关重要。

这些项目由社区高度贡献，并被大约 13,000 名用户标记为 GitHub 上最喜欢的项目。

攻击者利用错误配置和漏洞

在此活动中，攻击者通过利用以下漏洞和错误配置来部署 Lucifer 恶意软件：

2021 年，验证了 Apache Druid 容易受到远程代码执行的影响，并分配了 CVE-2021-25646。根据详情，该漏洞允许未经身份验证的远程用户以 Druid 服务器进程的权限执行任意 JavaScript 代码。检测到在某些版本的 Druid（0.20.0 及更早版本）中，JavaScript 代码的执行默认不会被禁用，因此可以发送一个特制的请求，强制 Druid 为该请求运行用户提供的 JavaScript 代码（详细说明可以在“路西法第三次进化”中找到）。

YARN 是 Hadoop 系统中的统一资源管理平台。其主要目标是实现集群资源的统一管理和调度。用户可以通过 YARN 提供的 API 直接进行相关的应用创建、任务提交等操作。如果这些 API 配置不当，它们可能会暴露在公共网络上，导致未经授权的访问。攻击者可利用此漏洞进行远程代码执行 （RCE）。

这种错误配置以及攻击者如何利用它的另一个例子可以在我们最近的一个博客。

路西法战役

我们在 6 个月内记录了 Lucifer 恶意软件活动，我们的分析显示在此期间略有演变。一般来说，该活动包括三个不同的步骤：

1. 利用漏洞或错误配置。
2. 下载并执行 Lucifer 恶意软件（或两个）。具体来说，我们观察到该恶意软件具有滴管功能。
3. 下载并执行主要有效载荷 – XMRig 加密矿工。

在进化的第一阶段，只下载一个 ELF 二进制文件并用作 dropper。

在第二阶段，下载两个 ELF 二进制文件。一个用作滴管（100% 类似于第一阶段），而第二个二进制文件的连接或用途尚不清楚。

在第三次也是最后一次进化中，涉及两个滴管。在第一个文件被删除并执行后，它会下载主有效负载（加密矿工），然后第二个 ELF 文件执行加密矿工。

我们推测这些可能是攻击者进行的测试，可能旨在评估防御规避技术，以绕过对丢弃和已执行文件的检测。但是，我们并不完全确定这种行为的目的。

Unit42 在 2020 年的一篇博客文章中讨论了 Lucifer 恶意软件的其他功能，“Lucifer 的功能非常强大。它不仅能够删除 XMRig加密劫持门罗币，它还能够通过利用多个漏洞和凭据暴力破解进行命令和控制 （C2） 操作和自我传播。此外，它还会丢弃并运行 EternalBlue、EternalRomance 和 DoublePulsar 后门，以对抗易受攻击的 Intranet 感染目标。

在下面的分析中，我们将讨论每个阶段，并阐明它们之间的相似之处和不同之处。

在本节中，我们将彻底讨论路西法战役。在以下各节中，我们将重点介绍相似之处和不同之处。

攻击流

在此阶段，攻击者针对的服务是Apache Hadoop YARN。攻击是从腾讯云托管的服务器 CIDR 81.68.0.0/14 中执行的。然后下载并执行路西法恶意软件以启动加密挖矿活动。

图 1：初始阶段的攻击流

初始访问

在扫描互联网并搜索配置错误的 Apache Hadoop 后，攻击者利用了我们的 Apache Hadoop YARN 中现有的错误配置，该错误配置允许攻击者在我们的易受攻击的实例上执行远程代码执行 （RCE）。

图2：Apache Hadoop配置错误的HTTP请求

如图 3 所示，攻击者利用错误配置执行恶意命令，从而将恶意软件下载到我们受感染的机器上：

1. 从 IP 地址 103.255.177.55 下载恶意二进制文件。llli
2. 向所有用户授予二进制读、写和执行权限。
3. 执行二进制文件。
4. 删除二进制文件。

图 3：Apache Hadoop YARN 中错误配置的突出显示命令

执行

攻击者下载并执行恶意二进制文件。二进制文件保存到 NodeManager（Hadoop YARN 的关键组件）上 Apache Hadoop YARN 使用的本地目录结构中，并从那里执行。llli

如图 4 所示，根据 VirusTotal 的数据，该二进制文件被 40 家供应商识别为恶意文件，并被归类为 Lucifer DDoS 僵尸网络恶意软件。

图 4：VirusTotal 扫描“llli”二进制文件

二进制文件的执行会触发以下步骤：llli

1. 执行 DNS 请求 （域 nishabii[.]xyz） 并使用端口 7895 连接到解析的 IP 地址 （110.42.1.53）。IP地址和域名被识别为恶意，根据pcap文件，发现它与矿池和采矿活动有关。
2. 使用端口 6895 从 IP 地址 103.255.177.55 下载文件，并将其保存在 /tmp 下，名称为 .gcshfkQdefgh
3. 为二进制文件提供所有用户的读、写和执行权限。Qdefgh

根据 VirusTotal 的数据，该二进制文件被 33 家供应商检测到，并被归类为 Coinminer。Qdefgh

图 5：“Qdefgh”硬币矿工的 VirusTotal 扫描

坚持

如下图 6 所示，攻击者向 crontab 写入一个命令，该命令将每 1 分钟执行一次二进制文件（在 VirusTotal 中检测为 Lucifer 恶意软件）。这允许攻击者在我们的机器上获得持久性，并确保恶意活动将按计划执行。llli

图 6：计划“llli”二进制文件的重复执行

防御规避

从攻击流中可以看出，攻击者下载 Lucifer 恶意软件二进制文件，然后将其从最初保存的路径中删除。但是，二进制文件仍存在于计算机上，并按计划执行。删除可帮助攻击者在入侵期间最大限度地减少其占用空间。llli

此外，矿工被下载为打包的二进制文件，以逃避一些基于签名的安全解决方案的检测。

此外，攻击者还会将日志文件截断到指定的长度。这是一个聪明的举动，有效地减少了入侵的证据，而不会触发日志文件删除的警报。

发现

为了支持挖矿操作，攻击者执行了一个命令，从 /proc/cpuinfo 文件中收集有关 CPU 时钟速度的信息，并提供表示时钟速度的数值（以兆赫兹为单位）。

冲击

我们的蜜罐是有限的，因此我们只看到了资源劫持的迹象。但是，Lucifer 恶意软件也能够发起 DDoS 攻击。

攻击者利用腾讯云 CIDR 82.156.0.0/15 中的服务器，通过错误配置继续攻击 Hadoop 服务器，并用 Lucifer 恶意软件感染配置错误的服务器。这一次，在部署恶意软件时，会删除两个文件（而不是一个文件），但只执行一个文件。

图 7：攻击流，第二阶段

在初始阶段，路西法恶意软件文件被命名为“llli”，它删除并执行了加密矿工。在此阶段，如图 7 所示，我们观察到两个被丢弃的恶意软件文件 （ 和 ），但只执行了二进制文件。第二个文件的目的最初尚不清楚，但很快就在第三阶段被发现。(Qdefgh)skadafskadaf8skadaf

下面的图 8 突出显示了在利用现有错误配置时执行的命令，显示了两个二进制文件 – 和 .skadafskadaf8

图 8：Apache Hadoop YARN 中错误配置的突出显示命令

如图 9 和图 10 所示，下载的文件都被 VirusTotal 检测为恶意文件，并被供应商归类为与 Lucifer DDoS 僵尸网络恶意软件相关。

图 9：skadaf 二进制文件的 VirusTotal 扫描

图 10：对“skadaf8”二进制文件的 VirusTotal 扫描

如前所述，路西法恶意软件启动了加密矿工的下载。恶意软件对域 hfs.t1linux[.] 执行 DNS 请求。com 并使用端口 7845 连接到解析的 IP 地址 45.141.68.25。此连接触发名为 （这与初始阶段下载的矿工相同） 的加密矿工的下载和执行。skadafsprxyabc

在初始阶段检测到的技术（持久性、防御规避、发现和影响）在此阶段保持不变。

在此阶段，攻击者正在寻找 Apache Druid 漏洞。一旦检测到易受攻击的主机，该漏洞就会被利用来获取初始访问权限并下载两个恶意二进制文件，如下面的图 11 所示。

需要注意的是，在利用现有的错误配置后，在Apache Hadoop YARN上观察到了类似的攻击。

图 11：攻击流，第三阶段

初始访问

我们的 Apache Druid 服务版本容易受到 CVE-2021-25646 的攻击。在攻击者扫描网络以查找像我们这样的开放服务后，就有可能利用该漏洞。如图 12 所示，Apache Druid 提供了一个 HTTP API，允许用户访问 Apache Druid 控制台并与之交互。它还使经过身份验证的用户能够执行用户定义的 JavaScript 代码以执行特定的筛选和转换操作。但是，攻击者会利用易受攻击的版本进行命令注入，创建包含嵌入式 JavaScript 代码的构建请求，即使禁用此功能也是如此。

图12：Apache Druid漏洞的HTTP请求（CVE-2021-25646）

在图 13 中，我们可以看到攻击者执行的突出显示的 JavaScript 代码，这与我们在第二阶段观察到的类似：攻击者下载了两个二进制文件，在此阶段分别命名为 和 ，为它们提供所有用户的读、写和执行权限，执行它们，然后删除它们。shxshx8

图 13：Apache Druid 中漏洞的突出显示命令

执行

正如在第二阶段所观察到的，根据 VirusTotal，下载的二进制文件都被归类为 Lucifer DDoS 僵尸网络恶意软件，如图 14 和图 15 所示。

Figure 14: VirusTotal scan of ‘shx’ binary file

Figure 15: VirusTotal scan of ‘shx8’ binary file

Similar to the second phase, the binary initiated the download of the cryptominer , which is save to /tmp directory, while, in this phase, the binary is responsible to execute the cryptominer.shx1HSDXklmnoshx8

Similar to what we observed in the previous phases, a DNS request was made towards the domain nishabii[.]xyz. According to the pcap file, we were able to connect to it, revealing it as the pool related to the mining activity, as illustrated in Figure 16 below.

Figure 16: Mining activity highlighted from the pcap file

Persistence

Similar to the initial phase, only that in this phase the attacker scheduled the execution of the two binary files – and as illustrated in figure 17.shxshx8

Figure 17: Scheduling a recurring execution of the ‘shx’ and ‘shx8’ binary files

Defense Evasion

In this phase, the attacker introduced another defense evasion technique, enabling to bypass detection of dropped and executed files by distributing the downloading and execution of the cryptominer between two Lucifer malware binary files.

The techniques detected in the initial phase – Persistence, Defense evasion, Discovery, and Impact – remain the same in this phase.

The table below provides a summary of the similarities and differences between the stages of evolution.

在其中一个 Lucifer 恶意软件样本的字符串中，我们发现了一个有趣的发现。一条文字呼吁我们饶恕攻击者并捐赠一些钱。钱包是不同的，我们发现一个说中文的威胁行为者针对我们亚太地区部署的蜜罐选择用英语而不是中文传达他的信息，这很奇怪。

图 18：来自 Lucifer 恶意软件示例的编码字符串

MITRE 框架

动态检测受损工作负载

Aqua 的云原生应用平台 （CNAPP） 为您的基于云的项目提供全面的保护。Aqua Trivy 会认真扫描您的代码、容器映像和云工作负载，以检测各种威胁，包括 Apache Druid CVE-2021-25646 等已知漏洞、隐藏的恶意软件、隐藏的秘密、配置错误和开源许可证问题。使用我们的高级版本，您可以访问高级功能以增强安全性。我们的 CI/CD 管道集成允许无缝配置接受门，通过仅允许授权映像进行部署来最大限度地降低攻击风险。一旦投入生产，我们智能驱动的运行时控制可确保持续防止漏洞利用，例如容器逃逸，从而实时保护您的云工作负载。

以下是屏幕截图，说明了 Aqua Trivy 的高级版本如何有效识别 EC2 实例中的 Apache Druid CVE-2021-25646 漏洞。

Figure 19: Detection of the Apache Druid vulnerability

The details of the exploit to the vulnerability on Github. (and in figure 20 below).

Figure 20: An exploit to CVE-2021-25646

In addition, you can see below our runtime protection capabilities that create defense in depth capabilities to detect such attacks, in case of a zero-day, misconfiguration, human error or any other reason.

图 21：来自 CNDR 的事件检测

保护环境的准则

在这篇博客中，我们回顾了 Lucifer DDoS 僵尸网络恶意软件，并演示了它如何针对 Apache 大数据解决方案——Apache Hadoop 和 Apache Druid。攻击者通过利用这些服务中现有的错误配置和漏洞来实施攻击。正如我们所观察到的，在该服务上站稳脚跟后，攻击者能够执行恶意活动并影响我们的资源，使用我们的资源进行加密挖掘活动。

正如我们所看到的，Apache 开源解决方案被许多用户和贡献者广泛使用。攻击者可能会将这种广泛使用视为拥有取之不尽用之不竭的资源来实施攻击的机会。

我们如何才能使用不同的服务并保护我们的环境？

首先，攻击者需要找到一个漏洞才能在您的环境中站稳脚跟。防止这些尝试并保护您的环境非常重要。更新至关重要，值得推荐，因为它们包含对分销商处理的安全问题的修复。此外，正确配置环境并遵循准则以避免错误配置也很重要。

其次，此活动提供了一个示例，说明攻击者如何改进其方法和技术，从而创建更难检测的复杂攻击。通过使用运行时检测和响应解决方案扫描环境，可以识别未知威胁，这些解决方案可以检测异常行为并发出警报。

第三，在使用开源库时要谨慎并意识到现有的威胁是很重要的。每个库和代码都应该从经过验证的分销商处下载。对员工进行教育并保护您的供应链可以减少可能的威胁。
钱包

妥协迹象 （IOC）

原文始发于微信公众号（犀利猪安全）：Lucifer僵尸网络软件瞄准Apache大数据产品