网络安全研究人员发现了一个名为Outlaw(又名 Dota)的“自动传播”加密货币挖矿僵尸网络,该僵尸网络以针对凭据较弱的 SSH 服务器而闻名。
“Outlaw 是一种 Linux 恶意软件,它依靠 SSH 暴力攻击、加密货币挖掘和类似蠕虫的传播来感染并保持对系统的控制,”Elastic Security Labs 在周二发布的一项新分析中表示。
Outlaw 也是恶意软件背后的威胁行为者的名称。据信它起源于罗马尼亚。其他在加密劫持领域占据主导地位的黑客组织包括 8220、Keksec(又名 Kek Security)、Kinsing 和 TeamTNT。
至少从2018 年底开始,黑客团队就一直活跃着,他们拥有暴力破解的 SSH 服务器,滥用立足点进行侦察,并通过将自己的 SSH 密钥添加到“authorized_keys”文件中来维护受感染主机上的持久性。
众所周知,攻击者还包含一个多阶段感染过程,包括使用投递器外壳脚本(“tddwrt7s.sh”)下载存档文件(“dota3.tar.gz”),然后将其解压缩以启动矿工,同时还采取措施消除过去妥协的痕迹并杀死竞争对手和他们自己以前的矿工。
该恶意软件的一个显着特征是初始访问组件(又名BLITZ),它允许通过扫描运行 SSH 服务的易受攻击的系统,以类似僵尸网络的方式自行传播恶意软件。暴力模块配置为从 SSH 命令和控制 (C2) 服务器获取目标列表,以进一步延续该循环。
一些攻击迭代还利用了容易受到CVE-2016-8655 和 CVE-2016-5195(又名 Dirty COW)影响的基于 Linux 和 Unix 的作系统,以及 Telnet 凭证较弱的攻击系统。获得初始访问权限后,恶意软件使用 IRC 通道通过 C2 服务器部署 SHELLBOT 进行远程控制。
就SHELLBOT 而言,它支持执行任意 shell 命令、下载和运行额外的有效负载、发起 DDoS 攻击、窃取凭据和泄露敏感信息。
作为其挖掘过程的一部分,它确定受感染系统的CPU,并为所有 CPU 内核启用大页面以提高内存访问效率。该恶意软件还利用名为 kswap01 的二进制文件来确保与威胁行为者的基础设施进行持续通信。
“尽管使用了 SSH 暴力破解、SSH 密钥作和基于 cron 的持久性等基本技术,但 Outlaw 仍然很活跃,”Elastic 说。“该恶意软件部署了修改后的 XMRig 矿工,将 IRC 用于 C2,并包括用于持久性和防御规避的公开可用脚本。”
 |
END
原文始发于微信公众号(信息安全大事件):Outlaw Group 使用 SSH 暴力破解在 Linux 服务器上部署加密劫持恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论