威胁研究正文

Outlaw僵尸网络于凌晨大规模攻击云主机,腾讯云防火墙可拦截

2021-07-28 09:42:35

腾讯安全威胁情报中心分析主机安全检测数据时发现,Outlaw僵尸网络家族在今天凌晨左右感染数据呈大幅飙升。Outlaw僵尸网络家族主要通过SSH爆破获取登录密码后写入SSH公钥,然后执行恶意程序。Outlaw僵尸网络控制团伙刻意选择深夜至凌晨期间对云上客户发起大规模SSH爆破攻击,已部署腾讯云防火墙的主机均安然无恙。

一、概述

腾讯安全威胁情报中心分析主机安全检测数据时发现,Outlaw僵尸网络家族在今天凌晨左右感染数据呈大幅飙升。Outlaw僵尸网络家族主要通过SSH爆破获取登录密码后写入SSH公钥,然后执行恶意程序。Outlaw僵尸网络控制团伙刻意选择深夜至凌晨期间对云上客户发起大规模SSH爆破攻击,已部署腾讯云防火墙的主机均安然无恙。

 

腾讯安全专家提醒政企客户注意本次攻击事件,一旦爆破成功,攻击者会写入新的SSH公钥配置远程登录完全控制服务器。如有使用弱密码SSH连接登录服务器的,应尽快修正。

{xunruicms_img_title}

 

Outlaw僵尸网络家族是存在多年十分活跃的僵尸网络家族,这个僵尸网络家族多采用爆破SSH作为主要入侵手段。Outlaw僵尸网络家族主要通过受控主机组网进行DDoS攻击、留置后门或进行挖矿作业来牟利。

 

腾讯安全专家建议政企客户尽快采取以下措施加固服务器,缓解风险:

1.      删除authorized_keys下的异常内容;

2.      立即停止使用弱口令登录,增加密码强度;

3.      结束恶意进程和删除相关恶意文件;

4.      排查木马关键目录以及文件
/tmp/.W10-unix(*)/.rsync/
/dev/shm/.X7123(*)/.rsync/
~/.configrc/a/kswapd0

5.      清除计划任务中的可疑项(可疑的a,b,c目录相关文件):
11*/2** /a/upd>/dev/null 2>&1
58**0 /b/sync>/dev/null 2>&1 
@reboot /b/sync>/dev/null 2>&1  
00*/3** /c/aptitude>/dev/null 2>&1   

 

腾讯安全全系列产品均已支持检测防御Outlaw僵尸网络家族的攻击活动:

{xunruicms_img_title}

二、腾讯安全解决方案

Outlaw相关威胁数据已加入腾讯安全威胁情报,赋能给腾讯全系列安全产品,企业客户通过订阅腾讯安全威胁情报产品,可以让全网所有安全设备同步具备和腾讯安全产品一致的威胁发现、防御和清除能力。

 

腾讯安全威胁情报中心检测到Outlaw僵尸网络此次深夜攻击活动已影响数千台未部署任何安全防护产品的云主机。腾讯安全专家建议政企机构公有云系统通过部署腾讯云防火墙、腾讯主机安全(云镜)等产品检测防御相关威胁。

{xunruicms_img_title} 

已部署腾讯主机安全(云镜)的企业客户可以通过高危命令监控发现攻击活动(添加公钥、解密执行代码等),腾讯主机安全(云镜)支持对攻击过程中产生的木马落地文件进行自动检测。客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。也可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞检测和弱口令检测。

{xunruicms_img_title}

 

政企客户可通过旁路部署腾讯天幕(NIPS)实时拦截Outlaw僵尸网络的网络通信,彻底封堵攻击流量。腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

三、详细分析

攻击方法

通过分析,该家族僵尸网络基本通过利用SSH爆破以获取登录密码。

{xunruicms_img_title}

 

在利用获取的密码登录到受害者主机,然后写入公钥。后续利用写入的公钥登录服务器进行远程控制,可执行任意恶意文件和代码。


{xunruicms_img_title}

Outlaw僵尸网络木马与以往版本并无差异,这里不再赘述。

威胁视角看攻击行为

ATT&CK阶段

行为

侦察

扫描IP端口,确认可攻击目标存开放SSH服务。

资源开发

利用各类爆破工具对目标主机进行SSH用户和密码进行爆破

初始访问

获取登录用户名和密码

执行

写入SSH 公钥后,进行登录以执行文件下载和代码执行

影响

驻留的僵尸木马具备下载执行,命令执行等后门功能。将给服务器带来不可预料的各类型网络风险。门罗币矿机模块不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。

IOCs

SSH 公钥内容:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

 

IP

67.205.186.83

104.248.145.254

参考链接:

腾讯安全威胁情报发现Outlaw僵尸网络新变种

https://mp.weixin.qq.com/s/bs5kd_EnuNLFjunrKP-oiQ


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


在线咨询