Outlaw组织僵尸网络分析：加密货币挖矿、扫描、暴力破解

研究人员之前曾分析过一个使用Internet Relay Chat (IRC) bot的名为Outlaw的僵尸网络。本文分析研究人员利用IoT蜜罐系统发现的该组织运营的一个僵尸网络。攻击bot使用haiduc工具来搜索网络寻找攻击目标。如果成功利用了一些漏洞，就在受害者主机上运行min.sh脚本。

本文分析Outlaw攻击活动的两个变种。Bot主机第一个变种使用的脚本有两个功能：挖矿机和基于Haiduc的dropper。挖矿部分的代码有两个form表单。其中一个是明文bash/perl脚本，另一个是混淆的 Perl 脚本变种，可以绕过基于内容检测的IPS和防火墙的检测。Bot主机传播的第二个变种代码是用来暴力破解和利用微软Remote Desktop Protocol协议和云管理cPanel来进行权限提升的。

变种1

挖矿机会下载和执行Monero挖矿，使用的二进制文件可以运行在 Linux 和安卓系统上。挖矿机变种首先会检查系统中是否运行着其他挖矿机。如果发现存在其他挖矿机，脚本就会杀掉其他挖矿机的进程，并开始运行自己的挖矿机。也就是说僵尸主机可以劫持来自其他不相关的僵尸网络主机的挖矿活动。一些Mirai变种也有这样的能力，但与这样Mirai变种不同的是，僵尸主机不会修复受害者主机来预防之后的感染或重感染。

挖矿活动开始后，僵尸主机会检查进程列表以确定挖矿机是否在运行。如果没有运行，就从源地址再次下载恶意文件并重新开始挖矿进程，包括检查其他挖矿机是否存在。进程允许攻击者从别的攻击者处窃取已有的被黑的挖矿机，并且用更新的挖矿机来重感染主机，这样就可以在攻击者的XMR钱包被劫持后继续攻击活动。

一旦挖矿活动建立后，挖矿机就可以通过被黑的网站报告给其属主，被黑的站点保存有一个名字随机生成的 PHP 脚本。

脚本的其他部分主要是僵尸繁殖，使用的是Outlaw组织之前使用过的haiduc工具。haiduc工具集变种被用来暴力破解运行SSH服务的有漏洞的主机。如果暴力破解成功，就运行传播僵尸主机的命令。这是通过运行命令来安装min.sh脚本来实现的。然后通过PHP脚本扫描不同的目标，通过邮件发送扫描结果到僵尸管理员，这也是通过硬编码的PHP脚本实现的。与上次使用IRC构建僵尸网络不同的是，这次僵尸是通过PHP来控制的。但是挖矿机文件、haiduc工具集都来自于同一组织。

感染的主机从URL hxxp://www[.]karaibe.us/.foo/min.sh下载恶意 shell 脚本。有趣的是，网页源代码中嵌入了一个Google分析脚本，这样僵尸管理员就可以监控整个攻击活动了。目前，该域名被解析为篮球联赛排名的网站。这也是Outlaw组织的核心活动之一就是利用网站的PHP漏洞来获取新的C2或内容分发服务器。

感染脚本min.sh

图1. min.sh脚本

挖矿活动

脚本的第一个部分就是下载挖矿二进制文件和其他文件。攻击者可以添加另一个服务器/域名到命令中来确保不会因为一个系统的下线导致攻击被拦截。然后提取下载的文件，并将工作目录移动到隐藏的.bin中。使用隐藏目录可以使系统管理员难以发现运行的挖矿机。然后运行XMR挖矿二进制文件，转发结果到/dev/null。

扫描活动

下一步工作目录会被修改为/tmp。隐藏的.vd目录文件会被移除来确保只有当前脚本运行。然后，下载、提取和裕兴sslm.tgz。这个基于haiduc的扫描器位于C2服务器，可以使用PHP脚本生成目标。然后发送被黑主机的the introduction到另一个位于 hxxp://www[.]karaibe[.]us/[.]foo/remote/info[.]php的PHP脚本。

图2. 到C2的POST请求

在发送introduction到C2后，会将工作目录修改会/tmp并从受感影响的系统中移除感染脚本。

变种2

研究人员之前已经分析过haiduc工具集了，但这两个haiduc变种有个之前没有发现过的功能：测试获取的目标系统是否运行RDP协议或cPanel。RDP用于Windows主机和服务器的远程管理，cPanel是一款开源的云管理接口。如果在目标主机上发现任意一个服务，就保存并用于下一步的利用。

通过RDP协议扫描

在Shodan搜索发现网上有成百上千的开放RDP端口的服务器。一旦被黑，攻击者可以获取网络上另一个子网的访问权限，窃取敏感信息，监控个人，控制工业控制系统等等。

下图中的脚本被是用来运行Perl脚本psc2的，即搜索RDP相关的开放端口。结果会反馈给一个工具rdp，rdp会获取psc2提供的远程主机地址并尝试登陆。攻击者会使用该脚本的变种来进行进一步的攻击。

图3. 运行Perl脚本 psc2 和rdp攻击的变种1

第二个变种已经为基于PHP的C2控制做好了准备，其中参数中包含class文件。其中class文件的一个变种列出了已知的企业名称，另一个变种列出了基于地理位置的IP地址class。该脚本首先运行基于perl的端口扫描器，其结果提供给drp工具，该 工具 是一个嵌入的wordlist，有3811行生成的凭证。

图4. 运行perl脚本psc2和rdp工具的脚本的第二个变种

通过cPanel攻击云

cPanel是一个有通用管理接口的云托管平台。常被中小型企业用于管理私有云。对cPanel的攻击会影响大量的用户，因为攻击者可以劫持整个含有敏感数据的云基础设施。cPanel会公开云管理接口的登陆接口，而该接口位于企业的子域名上。攻击者就是利用该习惯发起攻击的。

与RDP类似，攻击者会使用受害者列表而不是扫描整个网络。每个主机都会被枚举来确定是否有使用了非恶意脚本bing-ip2hosts的子域名。输出的结果叫做bios会被反馈给暴力破解工具brute。

图5. cPanel攻击脚本

结论

黑客组织Outlaw的僵尸网络正在不断发展中，攻击者使用PHP来实现C2的能力来克服IRC的一些缺点。该组织倾向于使用已有的黑客工具和haiduc工具，这些工具都会封装到bash文件中的，所以普通用户都可以运行这些工具。Haiduc这个工具本身就很可疑，因此会被低交互的蜜罐系统监控到。

除了工具外，该组织还在不断地发展新目标。截至目前，员工有18万被黑的主机和2万个新被黑的主机，其中包括IoT系统、不同的网站、基于云的虚拟所有服务器（VPS）、被黑的Windows服务器等等。

基于安卓的移动设备也会受影响。但需要机主先root设备，或用chrooted的基于Linux的系统运行受感染的文件。研究任意发现可以通过安卓设备上的恶意软件来检测真实的IP或位置。

Outlaw组织的目标应该是首先构建一个可以发起DDoS攻击的基础设备，然后使用暴力破解使用SSH服务的机器来扩大僵尸网络的规模，最后通过加密货币挖矿来盈利。