明白：亡命徒（Outlaw）僵尸网络感染

pantuomenn

一、背景 [url=http:///www.xiazaigou.com]软件库[/url]的具体问题可以到我们网站了解一下，也有业内领域专业的客服为您解答问题，为成功合作打下一个良好的开端！[align=center]

                               
登录/注册后可看大图

[/align]


讯安全威胁情报中心检测到国内大量企业遭遇亡命徒（O）僵尸络攻击。亡命徒（O）僵尸络最早于2021年被发现，其主要特征为通过SSH爆破攻击目标系统，同时传播基于P的S和门罗币挖矿木马。讯安全威胁情报中心安全大数据显示，亡命徒（O）僵尸络已造成国内约2万台L服务器感染，影响上万家企业。







此次攻击传播的母体文件为，可能为亡命徒（O）僵尸络的第个版本，母体文件释放脚本启动对应二进制程序，0负责进行门罗币挖矿，2、64负责继续SSH爆破攻击传播病。







亡命徒（O）僵尸络之前通过利用S漏洞进行分发，因此被命为“ S”。S利用物联（IT）设备和L服务器上的常见命令注入漏洞进行感染。S漏洞(CVE-2021-7169)是2021年在B中发现的一个严重的漏洞，大多数L发行版通常会使用到该功能，攻击者可以在这些受影响的L服务器上远程执行代码。







亡命徒（O）僵尸络利用SSH爆破入侵的攻击活动，可以被讯T-S高级威胁检测系统（御界）检测到：















讯T-S云防火墙可以检测亡命徒（O）僵尸络的挖矿行为、S漏洞利用及暴力破解SSH登录口令等等攻击活动。







目前，O僵尸络的影响仍在扩散，对企业服务器危害严重，支持检测亡命徒（O）僵尸络的攻击活动，帮助企业用户及时发现安全危机。








二、样本分析






O通过SSH爆破攻击，访问目标系统并下载带有脚本、挖矿木马、后门木马的TAR压缩包文件。解压后的文件目录可以看到，根目录下存放初始化脚本，目录下存放后门，目录下存放挖矿木马，目录下存放SSH爆破攻击程序。








C目录下二进制文件2、64为SSH（22端口）扫描和爆破程序，并可以通过执行远程命来下载和执行恶意程序。







爆破成功后执行64编码的命令，主要功能为删除旧版本的恶意程序和目录，然后解压获取到的最新版本恶意程序并执行，内容如下：







命令1：



#!







-



-



- X1-



- X17-



- X19-



- X2*



X25-



X25-



   







  ;X25- |21



45 -9-9-9



0












命令2：



#!







-



-



- X1-



- X17-



- X19-



- X2*



X25-



X25-



   







  X25-



X25- - 150 -S 6 - 6 - 22 -P 0 - 0 - 1 - 1 - 0192168 21



8 X25- - 150 -S 6 - 6 - 22 -P 0 - 0 - 1 - 1 - 017216 21



20 ; X25- 21



0












还会通过远程命令修改SSH公钥以便之后能更容易入侵。







B目录下脚本主要内容为64编码的后门程序，解码后可以看到代码仍然经过混淆。












把执行函数改为可打印出解密后的代码，是基于P的S变种，连接C2服务器地址为45914899:44，能够执行多个后门命令，包括文件下载、执行 和DDS攻击。如果接受到扫描端口命令，可针对以下端口进行扫描："21","22","2","25","5","80","110","14","6665"。












A目录下二进制文件0为XMR编译的L平台门罗币挖矿木马。在初始化阶段会执行脚本0来找到大量L平台竞品挖矿木马并进行清除。







在当前用户目录下创建目录，拷贝、文件夹到该目录下并执行初始化脚本，然后通过写入安装计划任务进行持久化。写入定时任务如下：



11*2**$221
@$221
58**0$221
@$221
00***$21







、管家安全建议



建议企业L服务器管理员检查服务器资源占用情况，及时修改弱密码，避免被暴力破解。若发现服务器已被入侵安装挖矿木马，可