原创 | FreakOut分析报告

admin 2021年5月21日05:47:51评论126 views字数 6214阅读20分42秒阅读模式

FreakOut事件概述

今年1月上旬,CNCERT物联网威胁分析团队通过实时运转的数据平台捕获到一种未知恶意程序out.py,它的典型传播域名为gxbrowser.net。绿盟科技伏影实验室对该程序样本、传播Payload等进行深入研究,并与开源情报进行比对,确认它是一种新型僵尸网络家族。

1月中下旬,多家国内外公司也发现了这个恶意程序,由于它的名称为out.py,且关联到的攻击者代号为Freak,因此该家族被命名为FreakOut。该恶意程序在传播中使用了3种漏洞,分别是:

CVE-2020-28188(TerraMaster TOS 未授权 RCE),

CVE-2020-7961(Liferay Portal 代码执行漏洞),

CVE-2021-3007(Zend Framework反序列化漏洞),

其中CVE-2021-3007于2021年1月3日左右公开,很快就被黑产团伙利用(CNCERT监测到该漏洞被利用的最早日期为1月7日)。

通过持续分析,我们逐渐挖掘出了该家族背后的运营者以及售卖者。本文将详细描述FreakOut相关信息的关联过程,以及其背后组织的发展过程。

一. FreakOut组织分析

1.1攻击者梳理

经溯源发现,FreakOut并非是攻击者于当下从零构建的恶意家族,而是经过多年修改变化而得。攻击者近期使用的一个版本necro.py,保留了注释信息,并披露了僵尸网络的名称与攻击者的代号,如下图所示:

原创 | FreakOut分析报告

这个躲在FreakOut事件背后的攻击团伙有着多年历史,而FreakOut作为Python编写的DDoS木马,只是该攻击团伙开发或使用过大量黑客工具的冰山一角而已。

早在2014年,攻击者就以Fl0urite为用户名,在Hackthissite论坛上讨论使用Python编写DDoS木马,并在2015年于HackForums论坛中以相同用户名发帖,提及了N3cr0m0rphIRC僵尸网络,可见当时已经初具规模。之后,因为各项变动,攻击者就很少使用Fl0urite这个账号了。

原创 | FreakOut分析报告

原创 | FreakOut分析报告

此外,攻击者在Stackoverflow上注册了用户N3Cr0M0rPh,其发布的帖子中指向的Pastebin页面上存放了与僵尸网络相关的工具和木马代码,仍然处于活跃状态。

原创 | FreakOut分析报告

1.2组织轨迹梳理

通过对Pastebin共享的文件进行分析,我们获取到了攻击者与其背后的组织曾使用过的多个ID:

KekSec

le_keksec

sudoer

Fl0urite

Freak

SynthMesc

Milenko

Binary

B1NARY

B1narythag0d

PopulusControl

Salamander Squad

Kek Security

我们基于这些ID以及木马程序中发现的其他信息,收集了相关信息并进行了关联整理。下图显示了部分信息的联系过程:

原创 | FreakOut分析报告

通过以上关联过程,我们最终确认FreakOut开发者曾经在以下三个组织中活动:

原创 | FreakOut分析报告

在活跃时间上,Salamander Squad、PopulusControl和Kek Security三个组织呈现了明显的迭代关系,这可能与组织主要开发者的动向有关。

同时,我们确认了以上组织的部分组成人员:

原创 | FreakOut分析报告

汇总以上信息,我们可以确定FreakOut背后组织的发展轨迹。

FreakOut的主要开发者Freak,早在2014年就在一个名为SalamanderSquad的DDoS僵尸网络运营团体中活动。此人不久后加入(或创立)了昵称为Binary的开发者所在的PopulusControl组织,继续进行DDoS僵尸网络的运营活动。

PopulusControl时期,组织成员在一个名为BullyWiiHacks的黑客论坛活动,并通过IRC频道保持联系。BullyWiiHacks的注册用户shitnbitch、thedetonator、shadow等人也是PopulusControl组织的成员。

2014年底,Binary声称将离开PopulusControl组织自立门户,并带走了部分成员。此后PopulusControl的开发任务主要由Freak负责。Freak在此期间更新了称为CancerNet与称为n3cr0m0rph的python IRC bot程序的多个版本,这些木马程序是FreakOut木马的前身。

原创 | FreakOut分析报告

2016年,Freak加入(或创立)了名为KeKSecurity的黑客组织。该组织除继续运营僵尸网络外,还进行了一些高调的黑客行动,包括入侵公共广告牌(https://hacked.wtf/hacker-news/keksec-on-billboard-security/2019/09/17/)等,并在推特上炫耀其入侵结果。下图显示了一则Keksec将杀软McAfee创始人JohnMcAfee的推文搬运到广告牌上,并高调转发John McAfee对于此事表态的推文。

原创 | FreakOut分析报告 作为KeKSecurity的主要开发者之一,Freak制作了多个开源IoT木马的变种并投入使用,这些变种程序通常被命名为keksec.[platfrom],如keksec.x86和keksec.arm7。

相关组织的页面信息如下:

原创 | FreakOut分析报告

1.3组织商业行为

Freak及其所在的Kek Security组织主要通过销售黑客软件以及销售DDoS资源的方式获利。Freak及其相关组织的售卖活动,可在其论坛活动中找到蛛丝马迹。

2020年,Hackforums论坛中一个名为Freak_OG的用户,曾在2020-06-17发帖,声称提供免费私人挖矿安装包,并在2020-12-06试图以25美元的价格出售其静默挖矿工具:

原创 | FreakOut分析报告

该挖矿工具使用XMRIG v6.6.2,包含多种特性,支持多种方式付款。为了推销工具,该用户还贴出了一些截图来证明可以获得金钱收入。

2020-12-01,Freak_OG发帖,推销一款名为DarkHTTP Loader的僵尸网络木马,售价50美元。按照说明,该木马提供了一个控制面板,并实现了多种功能,包括内网传播、文件窃取、USB传播、基于对SMB/MSSQL/MYSQL协议暴力破解实现的蠕虫功能。

原创 | FreakOut分析报告

此外,Freak_OG还以75美元的价格售卖一款名为DarkIRC的Windows木马。该木马通过WebLogic漏洞进行传播,可进行DDoS攻击、键盘记录、下载可执行文件、执行Shell命令、盗窃浏览器凭据和劫持比特币交易等恶意行为。

不过,该组织显然不善于隐藏自身,并受到研究人员的关注。在一篇帖子中,该用户对研究人员曝光其行为的举动进行吐槽,并主动承认自己不仅售卖木马,还发动过攻击行为。

原创 | FreakOut分析报告

这些信息表明,Kek Security一直在积极寻求自身资源的变现方法。

1.4其他僵尸网络家族关联

除了FreakOut这样的Python DDoS家族外,Freak及KeK Security还运营了其他僵尸

网络家族,并公用C&C基础设施。

信息显示,该组织使用了IRCBot和Tsunami这两个IRC家族进行DDoS活动,并曾使用Freak、keksec和kek这类名称作为IRC频道名,最大可容纳1214个用户,且大部分来自美国。

Kek Security组织还运营着一个被我们称为HybridMQ-keksec的木马程序构建的僵尸网络。HybridMQ-keksec是组合Mirai及Gafgyt的源代码并进行修改后得到的DDoS木马程序,主要使用华为HG532路由器命令注入和ThinkPHP远程命令执行等漏洞进行传播。

原创 | FreakOut分析报告

此外,部分HybridMQ-keksec木马程序搭载了新功能,可检查当前接收到网络中的原始TCP流量,若涉及HTTP、FTP和SMTP服务,则会将端口和数据信息回传至C&C。这种操作在Linux/IoT平台上DDoS家族中比较罕见,使得攻击者可以在利用受害者主机进行DDoS攻击之外,还可窃取受害者主机中非加密通信数据为后续的可能的内网渗透或定向攻击提供便利。

二. FreakOut样本分析

本次事件中出现的FreakOut样本是典型的python IRC bot木马程序。该木马会连接硬编码CnC中的IRC频道,接收CnC下发的指令进行信息收集、DDoS攻击、shell交互、ARP嗅探等攻击行为。该木马还带有三个漏洞载荷,可以攻击带有漏洞的web server以进行横向传播。

为了更好展示代码,下文截图中的部分代码进行了去混淆处理。

2.1持久化及对抗

FreakOut木马主要通过以下操作实现持久化:

1.fork生成daemon实现进程守护:

原创 | FreakOut分析报告

2.通过更名为boot.py并将自身写入rc.local实现开机启动:

原创 | FreakOut分析报告

FreakOut木马一般带有以下对抗行为:

1.通过异或加密及zlib压缩实现了关键信息的保护:

原创 | FreakOut分析报告

该异或加密对应以下解密算法:

原创 | FreakOut分析报告

2.通过变量及方法名混淆在某种程度干扰分析:

原创 | FreakOut分析报告

3.运行实例唯一化及命令行检测:

该样本通过使用抽象UNIX域套接字,并绑定特殊关键字:

postconnect_gateway_notify_lock实现单例化。

原创 | FreakOut分析报告

2.2漏洞传播

FreakOut木马使用CVE-2020-28188、CVE-2021-3007、CVE-2020-7961三个漏洞,分别针对TerraMasterTOS、Liferay Portal和Zend Framework进行横向传播。值得注意的是CVE-2021-3007是出现在2021年1月的反序列化漏洞,与FreakOut木马的在野出现时间非常接近。

1.CVE-2020-28188

该漏洞是由“ makecvs”PHP页面(/include/makecvs.php)中“ event”参数缺少输入验证引起的。这允许未经身份验证的远程攻击者注入OS命令,并使用TerraMaster TOS(4.2.06之前的版本)获得对服务器的控制。

原创 | FreakOut分析报告

原创 | FreakOut分析报告

2.CVE-2021-3007

该漏洞是由对象的非安全反序列化引起的。在高于Zend Framework 3.0.0的版本中,攻击者滥用Zend3功能从对象加载类,以便在服务器中上载和执行恶意代码。可以使用“ callback”参数上传代码,在这种情况下,该参数将插入恶意代码,而不是“ callbackOptions”数组。

原创 | FreakOut分析报告

原创 | FreakOut分析报告

3.CVE-2020-7961

该漏洞是LiferayPortal(在7.2.1 CE GA2之前的版本中)通过JSONWS进行的Java解组漏洞。编组类似于序列化,用于与远程对象(在本例中为序列化对象)进行通信。利用此漏洞,攻击者可以提供一个恶意对象,该恶意对象在未经编组时可以允许远程执行代码。

原创 | FreakOut分析报告

原创 | FreakOut分析报告

该漏洞payload经反序列化会访问http://gxbrowser.net:8004/t,下载名为t的java文件,由下图可知漏洞利用成功后会获取out.py,并更名执行。

原创 | FreakOut分析报告

2.3ARP嗅探及投毒

FreakOut实现了ARP嗅探功能,会将自身设置为中间人,排除部分源及目的端口(1337/6667/23/443/37215/53/22),将接收信息转发到服务器1337端口。

该功能的具体实现见下图:

原创 | FreakOut分析报告

原创 | FreakOut分析报告

2.4通信内容

该木马使用IRC协议与C&C通信,上线信息示例如下:

样例:

NICK[HAX|Linux|x86_64|32]aYXzMIcqFqg

释义:

[HAX|操作系统|架构|CPU数量]8-12个随机字母

样例:

USER [HAX|Linux|x86_64|32]aYXzMIcqFqg gxbrowser.netlocalhost: aYXzMIcqFqg

释义:

此命令在NICK基础上新增服务器地址及硬编码字段”localhost: “

USER<username> <hostname> <servername> <realname> (RFC 1459)

样例:

JOIN #update N3Wm3W

释义:

硬编码频道及聊天室密码

原创 | FreakOut分析报告

原创 | FreakOut分析报告

2.5指令与功能

在CnC的控制下,FreakOut木马可以进行信息收集、DDoS攻击、shell交互、ARP嗅探等攻击行为。

原创 | FreakOut分析报告

2.6版本迭代

FreakOut在2020年年末到2021年年初期间至少更新过3个在野版本。

第一个版本necro.py,与out.py有着相似的框架,代码可读性强,是out.py的前身。

第二个版本out.py,即前文分析的版本,在necro的基础上大大增加了代码混淆,并增加了TCPFlood和漏洞利用。

第三个版本benchmark.py,在out的基础上增加了DGA域名设置,使得所有生成的C&C皆以xyz为顶级域名。

原创 | FreakOut分析报告

三.  监测数据

根据CNCERT物联网威胁分析团队的监测数据,发现FreakOut相关的攻击服务器IP地址532个,地域分布如下图所示:

原创 | FreakOut分析报告

被这些IP攻击的设备地址有35万个,主要位于美国(48.5%),地域分布如下图所示:

原创 | FreakOut分析报告

其中位于境内的被攻击的IP地址有1万5409个,主要位于台湾(32.2%)、香港(18.8%)、浙江(13.5%)、北京(11.1%)、广东(6.3%),省市分布如下图所示:

原创 | FreakOut分析报告

四.  FreakOutIoC

Sha256:

7c7273d0ac2aaba3116c3021530c1c868dc848b6fdd2aafa1deecac216131779

49d3097c8145707deb4f92db4d4edb755f614da1eccaad97895837f7fd046b89

977c86c7b7a8af91c1c0fb9c8e6a52d6764da152116df4ac0aac8b26b592db11

18928b9b79e7f8432e47cb6020f98d49d26c9150a7d825b5d776f634602f728b

4084535e549bdbfa3dcb4091c2ab85b00e3fedff9803d48764fa435861022402

b32be67afc4046eba64520ed834d92f97f6692e56fe3f1bbe67e8fbd0a30171d

e8efba562f3e9efe8cd541d56dcfeec5cc9376bddf28106c3ca2ba0ed40d1aeb

d119fbaca622d43ddf7a66d705f118aaeee4c330f4f0e01a01f33d22d4d8eb60

05908f2a1325c130e3a877a32dfdf1c9596d156d031d0eaa54473fe342206a65

81ac7b096c0d9c5411e54cf88b779d85280444452452e50ca1f14a096e6ff909

C&C:

gxbrowser.net

aveixucyimxwcmph.xyz

45.145.185.229

45.145.185.83

162.255.119.213

193.239.147.224

185.10.68.175

107.174.133.119

198.144.190.116

关于伏影实验室

研究目标包括Botnet、APT高级威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。



转载请注明来自:关键基础设施安全应急响应中心

原创 | FreakOut分析报告

本文始发于微信公众号(关键基础设施安全应急响应中心):原创 | FreakOut分析报告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月21日05:47:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   原创 | FreakOut分析报告http://cn-sec.com/archives/266152.html

发表评论

匿名网友 填写信息