HackerNews 编译,转载请注明出处:
网络安全研究人员披露了一个名为Outlaw(又称Dota)的“自动传播”加密货币挖矿僵尸网络。该团伙以攻击存在弱凭据的SSH服务器而闻名。
据Elastic安全实验室周二发布的最新分析报告称,“Outlaw是一种依赖SSH暴力破解攻击、加密货币挖矿和类似蠕虫传播方式的Linux恶意软件,用于感染并控制系统。”该名称也用于指代开发该恶意软件的威胁行为者,他们被认为来自罗马尼亚。
自2018年底以来,该黑客团伙一直活跃,通过暴力破解SSH服务器,利用获得的权限进行侦察,并通过将自身的SSH密钥添加到“authorized_keys”文件中,以在被入侵主机上保持持久性。
攻击者还采用多阶段感染过程,使用一个下载器Shell脚本(“tddwrt7s.sh”)下载一个归档文件(“dota3.tar.gz”),然后解包以启动挖矿程序,同时清除过往入侵痕迹,并终止其他竞争挖矿程序和自身旧版本挖矿程序。
该恶意软件的一个显著特点是初始访问组件(又称BLITZ),它通过扫描运行SSH服务的易受攻击系统,以类似僵尸网络的方式实现恶意软件的自我传播。暴力破解模块会从SSH命令与控制(C2)服务器获取目标列表,以进一步延续传播周期。
在某些攻击中,该团伙还利用存在CVE-2016-8655和CVE-2016-5195(又称Dirty COW)漏洞的Linux和Unix操作系统,以及攻击存在弱Telnet凭据的系统。在获得初始访问权限后,恶意软件会部署SHELLBOT,通过C2服务器使用IRC频道进行远程控制。
SHELLBOT能够执行任意Shell命令、下载和运行额外的有效载荷、发起DDoS攻击、窃取凭据以及窃取敏感信息。
在挖矿过程中,该恶意软件会检测被感染系统的CPU,并为所有CPU核心启用大页面功能,以提高内存访问效率。它还使用一个名为kswap01的二进制文件,以确保与攻击者基础设施的持续通信。
“尽管Outlaw使用了SSH暴力破解、SSH密钥操作和基于计划任务的持久性等基本技术,但它仍然活跃。”Elastic表示,“该恶意软件部署了修改版的XMRig挖矿程序,利用IRC进行C2通信,并使用公开可用的脚本实现持久性和防御规避。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
