Outlaw黑客组织复工了!试图入侵Linux服务器来挖矿
本文插图
近日 , 网络安全公司Yoroi捕获了一个Linux恶意软件 。 分析显示 , 该恶意软件的核心组件是Shellbot(一个门罗币挖矿程序)的一个变种 , 而后者正是Outlaw黑客组织武器库中的一个犯罪工具 。 这也就意味着 , 在沉寂了一段时间之后 , 该组织再次卷土重来了!
Outlaw简介
首份关于Outlaw黑客组织的分析报告来自趋势科技 , 时间是在2018年 。
在当时 , 该组织主要瞄准的是汽车和金融行业 , 旨在通过暴力破解和SSH漏洞利用(Shellshock漏洞和Drupalgeddon2漏洞)来实现对目标设备(包括服务器和物联网设备)的远程访问 。
遭入侵的设备最终都成为了Outlaw僵尸网络的组成部分 , 然后以DDoS攻击服务的形式在暗网上出售 。
技术分析
如上所述 , Yoroi此次捕获的恶意软件 , 其核心组件是Shellbot的一个新变种 , 其他组件还包括一个基于IRC的僵尸程序和一个SSH扫描程序以及暴力破解工具 。
感染链从针对Linux服务器的暴力破解开始 , 然后才是安装完整的恶意软件组件 , 整个过程由几个bash和perl脚本进行管理 。
本文插图
图1.Shellbot暴力破解
具体来讲 , 在暴力破解成功后 , 以下文件将被安装:
本文插图
【Outlaw黑客组织复工了!试图入侵Linux服务器来挖矿】
图2.目录清单
父文件夹是一个名为“.rsync”的隐藏目录 , 包含三个文件和三个子目录 。
三个文件分别是“init”、“init2”和“initall” , 它们是三个bash脚本 , 负责安装三个主要组件 。
initall是第一个执行的脚本 , 其内容如下:
本文插图
图3.initall脚本的内容
该脚本只有两个宏函数 , 其中一个负责清除受感染设备上与其他恶意软件相关的进程 , 以避免在执行过程中产生某种类型的冲突 。
本文插图
图4.init2脚本的内容
init2脚本的内容如上图所示 , 它首先会运行三个文件:“init0”、位于文件夹“b”下的“a”以及位于文件夹“c”下的“a” 。
然后 , 便涉及到使用“crontab”来实现长久驻留——恶意软件会根据要执行的模块和文件来准备不同的计划任务配置:
- “/a/upd”每23天运行一次(28行);
- “/b/sync”每个星期日的上午08:05运行一次(第29行) ;
- “/b/sync”重新启动(第30行);
- “/c/aptitude”每三天运行一次(第31行) 。
从恶意软件自C2服务器下载的IP列表来看 , 截止到目前全球已有94541台设备被Outlaw僵尸网络纳入麾下 。
其中 , 受影响最严重的国家是美国(34998) , 其次是中国(8688) , 再然后是德国(6891)和法国(4068)以及一些欧洲国家 。
结语
尽管Outlaw在此次行动中使用了新的采矿池和C2服务器 , 但他们的目标显然仍是入侵世界各地的服务器 , 然后组建一支强大的挖矿大军 。
目前 , C2 IRC服务器已关闭 , 但提供受害者IP列表的两个C2仍处于活跃状态 。 最有可能的情况是 , 该组织将部署新的IRC服务器 , 而不更换其他基础设施 。
我们的建议是 , 你需要及时更新你的SSH服务器 , 并强化对它们的保护 , 如配置更为严格的身份验证并杜绝使用弱密码 。
推荐阅读
- |组织变革无从下手?一张思维导图就讲清楚了
- 黑客|全球最大的黑客组织“匿名者”发布视频称:黑人事件只是冰山一角
- 斜对面的老张|惊动联合国!雷军、小米被联合国教科文组织点名,网友却表示支持
- XLife|如果你的手机出现这三种情况,那么恭喜你,你被黑客盯上了
- DeepTech深科技|几乎所有iPhone和iPad都可破解!国外黑客发布最新“越狱”工具
- 兰州工信|兰州市工信局组织举办5G+工业互联网专题讲座
- 2020快手组织架构大调整:2020年三大战略方向落地第一步
- 小鹏:iOS 14细节曝光;董明珠坚决不裁员;美团亏了17亿;快手组织架构调整|Do早报
- []任天堂大战黑客团队,最强法务天团出击!势要打击破解党
- 手柄枪神任天堂大战黑客团队,最强法务天团出击!势要打击破解党