一、概述

腾讯安全威胁情报中心分析主机安全检测数据时发现，Outlaw僵尸网络家族在今天凌晨左右感染数据呈大幅飙升。Outlaw僵尸网络家族主要通过SSH爆破获取登录密码后写入SSH公钥，然后执行恶意程序。Outlaw僵尸网络控制团伙刻意选择深夜至凌晨期间对云上客户发起大规模SSH爆破攻击，已部署腾讯云防火墙的主机均安然无恙。

腾讯安全专家提醒政企客户注意本次攻击事件，一旦爆破成功，攻击者会写入新的SSH公钥配置远程登录完全控制服务器。如有使用弱密码SSH连接登录服务器的，应尽快修正。

Outlaw僵尸网络家族是存在多年十分活跃的僵尸网络家族，这个僵尸网络家族多采用爆破SSH作为主要入侵手段。Outlaw僵尸网络家族主要通过受控主机组网进行DDoS攻击、留置后门或进行挖矿作业来牟利。

腾讯安全专家建议政企客户尽快采取以下措施加固服务器，缓解风险：

1.      删除authorized_keys下的异常内容；

2.      立即停止使用弱口令登录，增加密码强度；

3.      结束恶意进程和删除相关恶意文件；

4.      排查木马关键目录以及文件
/tmp/.W10-unix(*)/.rsync/
/dev/shm/.X7123(*)/.rsync/
~/.configrc/a/kswapd0

5.      清除计划任务中的可疑项(可疑的a，b，c目录相关文件):
11*/2** /a/upd>/dev/null 2>&1
58**0 /b/sync>/dev/null 2>&1 
@reboot /b/sync>/dev/null 2>&1  
00*/3** /c/aptitude>/dev/null 2>&1   

腾讯安全全系列产品均已支持检测防御Outlaw僵尸网络家族的攻击活动：

二、腾讯安全解决方案

Outlaw相关威胁数据已加入腾讯安全威胁情报，赋能给腾讯全系列安全产品，企业客户通过订阅腾讯安全威胁情报产品，可以让全网所有安全设备同步具备和腾讯安全产品一致的威胁发现、防御和清除能力。

腾讯安全威胁情报中心检测到Outlaw僵尸网络此次深夜攻击活动已影响数千台未部署任何安全防护产品的云主机。腾讯安全专家建议政企机构公有云系统通过部署腾讯云防火墙、腾讯主机安全（云镜）等产品检测防御相关威胁。

已部署腾讯主机安全（云镜）的企业客户可以通过高危命令监控发现攻击活动（添加公钥、解密执行代码等），腾讯主机安全（云镜）支持对攻击过程中产生的木马落地文件进行自动检测。客户可登录腾讯云->主机安全控制台，检查病毒木马告警信息，将恶意木马一键隔离或删除。也可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞检测和弱口令检测。

政企客户可通过旁路部署腾讯天幕（NIPS）实时拦截Outlaw僵尸网络的网络通信，彻底封堵攻击流量。腾讯天幕（NIPS）基于腾讯自研安全算力算法PaaS优势，形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

三、详细分析

攻击方法

通过分析，该家族僵尸网络基本通过利用SSH爆破以获取登录密码。

在利用获取的密码登录到受害者主机，然后写入公钥。后续利用写入的公钥登录服务器进行远程控制，可执行任意恶意文件和代码。

Outlaw僵尸网络木马与以往版本并无差异，这里不再赘述。

威胁视角看攻击行为

IOCs

SSH 公钥内容：

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr

IP

67.205.186.83

104.248.145.254

参考链接：

腾讯安全威胁情报发现Outlaw僵尸网络新变种

https://mp.weixin.qq.com/s/bs5kd_EnuNLFjunrKP-oiQ

扫描以下二维码关注“腾讯安全威胁情报中心”公众号，掌握最新的网络安全威胁情报。