Outlaw 已成为一种顽固的 Linux 恶意软件，尽管其技术相对简单，但仍在持续感染着全球范围内的系统。

这种恶意软件在威胁环境中展现出了惊人的持久性，它利用诸如 SSH 暴力破解、精心设计的持久化机制以及加密货币挖矿等简单却有效的策略，来维持一个不断壮大的由被攻陷的 Linux 服务器组成的僵尸网络。

该恶意软件的初始攻击入口主要依赖于对那些使用弱密码或默认凭据的系统进行机会主义的 SSH 暴力破解攻击。一旦获得访问权限，Outlaw 就会下载并执行一个名为 dota3.tar.gz 的有效载荷，从而启动一个多阶段的感染过程。

这个软件包包含各种组件，可确保恶意软件在躲避检测的同时，能持续控制被攻陷的系统。

Elastic 安全实验室的分析师指出，Outlaw 展示了一条几乎涵盖整个 MITRE ATT&CK 框架的完整攻击链，这使其成为检测工程工作的一个绝佳研究案例。

研究人员通过蜜罐系统捕获了该恶意软件的行为，观察到了自动化进程以及威胁行为者偶尔的手动交互操作。

Outlaw 特别有效的地方在于其类似蠕虫的传播机制。

在攻陷一台主机后，该恶意软件会扫描本地子网以寻找其他易受攻击的系统，利用新感染的机器发起更多的 SSH 暴力破解攻击，从而迅速扩大其在网络中的感染范围。

持久化技术

Outlaw 的持久化机制在很大程度上依赖于 cron 作业和 SSH 密钥的操控。

该恶意软件会安装多个 cron 作业，以确保其组件在系统重启后或被终止时能够重新启动。

对该恶意软件的一个反混淆脚本分析揭示了其方法如下：

echo “5 6 * * 0 $dir2/a/upd>/dev/null 2>&1

@reboot $dir2/a/upd>/dev/null 2>&1

5 8 * * 0 $dir2/b/sync>/dev/null 2>&1

@reboot $dir2/b/sync>/dev/null 2>&1

0 0 */3 * * $dir/c/aptitude>/dev/null 2>&1” >> cron.d

crontab cron.d

此外，该恶意软件会删除并重新创建用户的～/.ssh 目录，注入由攻击者控制的 SSH 密钥，并使用 chattr +ia 命令设置文件的不可变属性，以防止管理员删除这些密钥。

这样一来，即使密码被更改，攻击者仍能获得持久的远程访问权限。

Outlaw 恶意软件展示了威胁行为者如何在不依赖复杂技术的情况下造成广泛的影响。

对于安全团队而言，检测该恶意软件存在多种机会，特别是通过监控可疑的 SSH 身份验证尝试、不寻常的 cron 作业创建以及未经授权的 SSH 密钥修改等行为。