腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月

  • A+
所属分类:安全新闻

腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月

长按二维码关注

腾讯安全威胁情报中心




一、概述

腾讯安全威胁情报中心发现Outlaw僵尸网络传播的IRC后门程序已更新,其主要危害仍是通过SSH爆破云主机攻击传播,再通过IRC后门控制失陷主机执行多种恶意行为,包括:控制失陷主机进行门罗币挖矿、执行拒绝服务攻击、下载更多恶意程序、其他任意命令执行等等。Outlaw僵尸网络新变种的攻击已持续数月,存在使用SSH弱口令登录缺陷的服务器均可能成为攻击目标。

腾讯安全曾在2020年7月发现该僵尸网络控制约2万台linux服务器挖矿,同期,有国外安全研究机构也发现Outlaw家族使用IRC 服务器(eleethub [.]com)对失陷系统进行远程控制,当时该网站宣传正在准备中:

腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月

2020年建设中的恶意网站eleethub [.]com


目前,EleetHub[.]com网站已完成建设,黑客在页面公开宣称其重点关注加密、挖矿和网络安全等内容。

腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月


黑客公开的IRC 服务器列表:

腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月




二、威胁发现过程及攻击技术点

腾讯安全专家在对企业客户进行日常安全巡检过程中,发现客户部署的腾讯安全威胁情报平台存在异常登录告警信息,如下图所示:

腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月


通过腾讯安图高级威胁溯源系统检索,发现告警信息记录的攻击IP,正是国外研究机构报告提及的恶意域名eleethub[.]com解析出的IP地址。IP情报标签,明确标识为“Botnet”、“Outlaw”。

腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月


通过腾讯安全威胁情报平台告警日志筛选检索,发现该攻击IP的活动记录已存在数月。攻击者随机扫描众多云主机目标,持续进行爆破入侵活动,存在SSH弱口令登录风险的主机可能失陷后沦为黑客控制的肉鸡服务器。

腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月

 

腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月


腾讯安全专家对部分失陷主机进行分析,发现失陷主机被登录后,已被植入Outlaw僵尸网络木马的变种样本bot0。

腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月


下载的bot0木马与腾讯安全在2020年7月报告的Outlaw僵尸网络中的shellbot后门程序主要功能基本一致,具备下载、拒绝服务攻击、回连、执行IRC服务器推送的任意指令等行为。


威胁视角看攻击行为:

ATT&CK阶段

行为

侦察

扫描IP端口,确认可攻击目标存开放SSH端口。

资源开发

注册C2服务器,制作shell脚本木马,挖矿木马,SSH爆破程序。

初始访问

利用对外开放的SSH服务弱口令爆破登陆,植入恶意Payload执行恶意命令进而入侵系统

执行

执行恶意命令下载挖矿木马

横向移动

攻击者在失陷机器上运行端口扫描程序

影响

挖矿程序不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。DDOS攻击会导致目标服务接收过量虚假请求而无法正常运转。




三、排查与加固

腾讯安全专家建议企业及时修改服务器SSH登陆密码为高强度密码,并对以下项目进行木马排查和清除:

进程:
/usr/local/apache/bin/httpd -DSSL
ld-linux-x86-64

文件目录:
/dev/shm/.cache/

计划任务
* * * * * /dev/shm/.cache/.x/upd >/dev/null 2>&1




四、腾讯安全解决方案

Outlaw僵尸网络相关的威胁数据已加入腾讯安全威胁情报,可赋能给政企客户部署的腾讯全系列安全产品或其他第三方厂商的安全产品。政企客户可通过订阅腾讯安全威胁情报产品,让全网所有安全设备或安全产品同步具备和腾讯安全一样的威胁检测、威胁防御和威胁处置能力。

腾讯安全专家建议政企用户公有云系统部署腾讯T-Sec主机安全(云镜)腾讯T-Sec云防火墙等产品检测、防御相关威胁。腾讯安全全系列产品已接入腾讯安全威胁情报数据,支持在各个节点检测、防御Outlaw僵尸网络的入侵活动。

腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月


腾讯T-Sec主机安全(云镜)基于腾讯云网络安全防御和主机入侵检测能力,为主机提供密码破解行为实时监控,可自动防御、阻断攻击者进行密码爆破等入侵活动。

腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月


建议用户使用腾讯主机安全基线管理功能,对主机SSH、MySQL、Tomcat等服务是否存在弱口令进行检测,提前发现弱密码缺陷并及时纠正缺陷。

腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月


腾讯T-Sec云防火墙已集成腾讯安全威胁情报能力,可根据恶意IP、域名等威胁数据精准检测、阻断Outlaw僵尸网络连接IRC服务器、连接矿池、上传下载等危及系统安全的网络活动。

腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月


IOCs

Domain
irc.eleethub.com
sauron.eleethub.com
ame.eleethub.com
ghost.eleethub.com

MD5

a

36c50280bc7217ae7b917c1c1dd6e281

bash

3297307e68ee4eabf580edbbabf2560e

bash3

fadaee4297d3f88689f66b20b99ee2ca

c

e34d0f146a7804f99339ecfe819c5fca

h32

0d01bd11d1d3e7676613aacb109de55f

h64

c644c04bce21dacdeb1e6c14c081e359

run

eec639a989d6868e50ab9b474c9f4272

x

a127fa3c580e908390200dd936868e29

z

7b3677e7363a172ba43ccd1952a25ff6

cache.jpg

6dc4c053bfafc2ae287e721726bac64e

miner0.tgz

73f436fbc991bed50fee074e3e2f835c

bot666

f264e945d3cc623de6d443dea44c9a95

bot0

b896737ecbfe7312c8a7288dd2e8247a


URL
193.56.28.202/miner0.tgz
193.56.28.202/bot666
193.56.28.202/ggcurl0.sh
153.120.158.35/bot0
199.192.19.108:2202/cache.jpg


参考链接:

https://mp.weixin.qq.com/s/4_E6kPuodxb3_inVCq2fqg
https://unit42.paloaltonetworks.com/los-zetas-from-eleethub-botnet/
https://www.trendmicro.com/en_us/research/18/k/perl-based-shellbot-looks-to-target-organizations-via-cc.html

腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月


关于腾讯安全威胁情报中心


腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月

长按二维码关注

腾讯安全威胁情报中心

腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月

本文始发于微信公众号(腾讯安全威胁情报中心):腾讯安全威胁情报发现Outlaw僵尸网络新变种,爆破攻击已持续数月

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: