产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
Outlaw僵尸网络于凌晨大规模攻击云主机,腾讯云防火墙可拦截
2021-07-28 09:42:35
一、概述
腾讯安全威胁情报中心分析主机安全检测数据时发现,Outlaw僵尸网络家族在今天凌晨左右感染数据呈大幅飙升。Outlaw僵尸网络家族主要通过SSH爆破获取登录密码后写入SSH公钥,然后执行恶意程序。Outlaw僵尸网络控制团伙刻意选择深夜至凌晨期间对云上客户发起大规模SSH爆破攻击,已部署腾讯云防火墙的主机均安然无恙。
腾讯安全专家提醒政企客户注意本次攻击事件,一旦爆破成功,攻击者会写入新的SSH公钥配置远程登录完全控制服务器。如有使用弱密码SSH连接登录服务器的,应尽快修正。
Outlaw僵尸网络家族是存在多年十分活跃的僵尸网络家族,这个僵尸网络家族多采用爆破SSH作为主要入侵手段。Outlaw僵尸网络家族主要通过受控主机组网进行DDoS攻击、留置后门或进行挖矿作业来牟利。
腾讯安全专家建议政企客户尽快采取以下措施加固服务器,缓解风险:
1. 删除authorized_keys下的异常内容;
2. 立即停止使用弱口令登录,增加密码强度;
3. 结束恶意进程和删除相关恶意文件;
4. 排查木马关键目录以及文件
/tmp/.W10-unix(*)/.rsync/
/dev/shm/.X7123(*)/.rsync/
~/.configrc/a/kswapd0
5. 清除计划任务中的可疑项(可疑的a,b,c目录相关文件):
11*/2** /a/upd>/dev/null 2>&1
58**0 /b/sync>/dev/null 2>&1
@reboot /b/sync>/dev/null 2>&1
00*/3** /c/aptitude>/dev/null 2>&1
腾讯安全全系列产品均已支持检测防御Outlaw僵尸网络家族的攻击活动:
二、腾讯安全解决方案
Outlaw相关威胁数据已加入腾讯安全威胁情报,赋能给腾讯全系列安全产品,企业客户通过订阅腾讯安全威胁情报产品,可以让全网所有安全设备同步具备和腾讯安全产品一致的威胁发现、防御和清除能力。
腾讯安全威胁情报中心检测到Outlaw僵尸网络此次深夜攻击活动已影响数千台未部署任何安全防护产品的云主机。腾讯安全专家建议政企机构公有云系统通过部署腾讯云防火墙、腾讯主机安全(云镜)等产品检测防御相关威胁。
已部署腾讯主机安全(云镜)的企业客户可以通过高危命令监控发现攻击活动(添加公钥、解密执行代码等),腾讯主机安全(云镜)支持对攻击过程中产生的木马落地文件进行自动检测。客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。也可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞检测和弱口令检测。
政企客户可通过旁路部署腾讯天幕(NIPS)实时拦截Outlaw僵尸网络的网络通信,彻底封堵攻击流量。腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。
三、详细分析
攻击方法
通过分析,该家族僵尸网络基本通过利用SSH爆破以获取登录密码。
在利用获取的密码登录到受害者主机,然后写入公钥。后续利用写入的公钥登录服务器进行远程控制,可执行任意恶意文件和代码。
Outlaw僵尸网络木马与以往版本并无差异,这里不再赘述。
威胁视角看攻击行为
ATT&CK阶段 | 行为 |
侦察 | 扫描IP端口,确认可攻击目标存开放SSH服务。 |
资源开发 | 利用各类爆破工具对目标主机进行SSH用户和密码进行爆破 |
初始访问 | 获取登录用户名和密码 |
执行 | 写入SSH 公钥后,进行登录以执行文件下载和代码执行 |
影响 | 驻留的僵尸木马具备下载执行,命令执行等后门功能。将给服务器带来不可预料的各类型网络风险。门罗币矿机模块不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。 |
IOCs
SSH 公钥内容:
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr
IP
67.205.186.83
104.248.145.254
参考链接:
腾讯安全威胁情报发现Outlaw僵尸网络新变种
https://mp.weixin.qq.com/s/bs5kd_EnuNLFjunrKP-oiQ
扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。
在线咨询
方案定制