滥用云服务进行传播的恶意软件越来越多

由于云服务提供了传统方式所不具备的可扩展性、匿名性和容错性，攻击者越来越多地开始利用云服务来存储、分发和建立 C&C 信道，例如 VCRUM 存储在 AWS 上或 SYK Cryptor 通过 DriveHQ 进行分发。

过去的一个月内，研究人员一直在监控使用这种策略的僵尸网络，例如 UNSTABLE 和 Condi。攻击者利用云服务进行恶意软件分发、C&C 通信，这使得防御者更难以察觉攻击。甚至还有攻击者利用多个漏洞攻击 JAWS Web 服务器、Dasan GPON 家用路由器、华为 HG532 路由器、TP-Link Archer AX21 和 Ivanti Connect Secure 以放大其攻击。

攻击链

UNSTABLE 僵尸网络

UNSTABLE 僵尸网络最初针对 JAWS Webserver 的远程命令执行漏洞（CVE-2016-20016），并从 45[.]128[.]232[.]15 下载恶意脚本 jaws。

攻击流量

下载恶意脚本

UNSTABLE 僵尸网络是 Mirai 的一个变种，按照架构下载特定的二进制文件。UNSTABLE 对配置文件进行异或编码，主要划分为三个模块：漏洞利用、扫描与 DDoS 攻击，漏洞利用中主要使用三个漏洞：CVE-2016-20016、CVE-2018-10561/10562 和 CVE-2017-17215。

漏洞利用

扫描模块中包含硬编码的用户名与密码列表，主要对网络中的各个主机进行扫描爆破。

硬编码列表

root

Zte521

swsbzkgn

taZz@23495859

grouter

juantech

tsgoingon

telnet

pass

solokey

oelinux123

password

admin

tl789

svgodie

default

GM8182

t0talc0ntr0l4!

user

hunt5759

zhongxing

guest

telecomadmin

zlxx.

telnetadmin

twe8ehome

zsun1188

1111

h3c

xmhdipc

12345

nmgx_wapia

klv123

123456

private

hi3518

54321

abc123

7ujMko0vizxv

88888888

ROOT500

7ujMko0admin

20080826

ahetzip8

dreambox

666666

anko

system

888888

ascend

iwkb

1001chin

blender

realtek

xc3511

cat1029

00000000

vizxv

changeme

12341234

5up

iDirect

huigu309

jvbzd

nflection

win1dows

hg2x0

ipcam_rt5350

antslq

DDoS 攻击模块覆盖多种协议，一共支持九种攻击方法：attack_tcp_ack、attack_tcp_syn、attack_tcp_legit、attack_tcp_sack2、attack_udp_plain、attack_udp_vse、attack_udp_thread、attack_gre_ip和attack_method_nudp。UNSTABLE 僵尸网络可以根据 C&C 服务器的命令，对受害者进行对应的攻击。

Condi 僵尸网络

Condi 僵尸网络仍然在利用 CVE-2023-1389 来进行攻击，恶意文件部署在 45[.]128[.]232[.]90。

下载恶意文件

设备被感染后恶意软件就会杀死竞争对手的进程和特定名称的进程，并与 C&C 服务器建立连接。

终止进程

恶意软件更新

攻击者使用的载荷是 ping -c 20 209.141.35.56。由于 IP 地址既不是攻击源也不是目标内网地址，研究人员推测这两个 IP 地址 45[.]128[.]232[.]229 和 209[.]141[.]35[.]56 可能同时由攻击者控制，其中一个是 C&C 服务器。

攻击流量

恶意软件可通过 45[.]128[.]232[.]229 下载四个文件，分别为 msgbox.exe、udp、udparm 与 udpmips。都是针对不同操作系统、不同架构的 DoS 工具，其中 msgbox.exe 会弹出 RAT 字符串的消息框。

udp 执行时如不带任何参数，会弹出提示信息：

使用提示

正常参数执行时，工具会随机生成字符串进行 UDP 洪水攻击。

正常执行

UDP 洪水攻击

研究人员发现，被用作 DDoS 服务的页面已经被 FBI 查封。该 IP 地址的另一部分路径（hxxp://209[.]141[.]35[.]56/getters/）下还包含 19 各针对不同 Linux 架构的恶意软件变种。

被查封页面

aarch64

microblazebe

aarch64be

microblazeel

arcle-750d

mips

arcle-hs38

mipsel

armv4l

nios2

armv5l

openrisc

armv6l

powerpc

armv7l

riscv64

i586

sh4

m68k

sparc

m68k-68xxx

x86_64-core-i7

m68k-coldfire

x86-core2

m68k-coldfire.gdb

x86-i686

xtensa-lx60

名为 x86-i686 的恶意软件会创建套接字并检查 C&C 服务器是否有效，无效时会终止运行。如果服务器有效，恶意软件会与 C&C 服务器建立连接，执行相关命令并回传有关信息。

C&C 服务器

恶意软件通过 /bin/bash 执行 ps -eo pid,comm --no-headers获取所有进程 PID 与运行的命令。

执行命令

利用获得的 PID 进一步使用 /proc/<PID>/commn检查正在执行的进程。

读取进程命令

随后，恶意软件将相关信息回传到 C&C 服务器。

回传信息

根据分析，攻击者将 C&C 服务器与恶意软件分发服务器都部署在云上。

Skibidi 僵尸网络

Skibidi 同时利用两个不同的漏洞进行传播，一个是 TP-Link Archer AX21 中的 CVE-2023-1389，另一个是 Ivanti Connect Secure 中的 CVE-2024-21887。

CVE-2024-21887

CVE-2023-1389

攻击者下载对应架构的 Skibidi 恶意软件并执行：

下载脚本

arm4

mips

arm5

mipsel

arm6

ppc

arm7

sh4

x86_64

skibidi.x86_64 在执行时会显示字符串 youre not skibidi enough：

执行恶意软件

调用 Linux 函数 ptrace 处理失陷主机上的进程，向恶意软件本身发送信号，fork 另一个进程来逃避检测。

调用 ptrace 函数

随后通过异或解码字符串创建进程并返回结果字符串：

异或编码

调用系统函数 prctl 通过异或编码的 -bash与 x86_64来操纵调用进程：

恶意软件进程

随后，恶意软件通过套接字连接 C&C 服务器。与此同时，使用系统调用 select 监听攻击者感兴趣的事件，如进程事件：

调用 select 函数

恶意软件重复监听事件并将结果发送回服务期。

结论

云服务的灵活性和效率为犯罪分子提供了活跃的平台，向基于云的运营方式转变标志着威胁形式的重大转变。

原文来自: freebuf.com