警惕针对Windows/Linux双平台的批量抓鸡行动,已有上千台服务器失陷

2020-04-16 09:49:55
近期腾讯安全威胁情报中心发现一黑产团伙通过多种自动化扫描爆破工具攻击Windows/Linux服务器,攻击者使用的爆破工具包括ssh/mysql/rdp等多种爆破工具,爆破成功后会在windows/Linux平台植入后门。

一、概述

近期腾讯安全威胁情报中心发现一黑产团伙通过多种自动化扫描爆破工具攻击Windows/Linux服务器,攻击者使用的爆破工具包括ssh/mysql/rdp等多种爆破工具,爆破成功后会在windows/Linux平台植入后门。腾讯安全威胁情报中心在攻击者的HFS服务器上发现3个攻击载荷,包括2个针对Linux系统的DDoS 僵尸网络木马billgates及一个针对windows系统的后门窃密木马。

攻击载荷服务器

该黑产团伙的主要特点:

1.   针对windows/Linux双平台的攻击载荷都是通过生成器生成,可配置上线地址,自动化、专业化程度高。

2.   入侵手段主要是通过多种自动化扫描爆破工具包进行扫描爆破,包括3306/1433端口(mysql/sqlServer默认端口)3389端口(远程桌面)、SSH爆破等等。

3.   通过一键免杀工具进行免杀,通过代理频繁更换服务器IP躲避追踪,频繁更换HFS服务器上的文件,使点击量重新计数等方式躲避追踪查杀。

4.   攻击载荷针对Linux系统的是DDoS 僵尸网络木马billgates,针对windows系统的为后门窃密类木马。

该黑产团伙从四月份开始活跃,目前已有上千台主机失陷,失陷主机分布在全国各地,排名前三的省份为浙江、江苏、广东。

受该团伙攻击失陷的服务器分布

二、黑客攻击工具包分析

腾讯安全威胁情报中心的检测数据显示,攻击载荷同一台机器上的IP地址每天都会修改更换一个。该黑产团伙为了躲避追踪,用了代理工具频繁修改IP地址,所使用的域名xnsj.f3322.net近期被解析指向的多个IP,实际上也是同一台机器设备:


我们在这台HFS服务器上发现多个黑客工具包,包括3389抓鸡工具包、 红尘网安1433工具包,Linux爆破工具、3306抓鸡、SA弱口令、 1433扫描工具、 一键免杀工具、 Linux/win平台生成器、DDoS压力测试工具等等。

部分黑客工具包及说明:

黑客工具包对应的功能

3389抓鸡工具包为远程桌面爆破工具,内置了爆破密码字典:

抓鸡工具包

红尘网安1433工具包及3306工具包主要是针对mysqlsqlsver进行弱密码爆破:


DDoS压力测试工具


三、Billgates僵尸网络木马分析

该团伙针对攻陷的Linux服务器会安装Billgates 僵尸网络木马,Billgates僵尸网络最早出现在2014年,是最为活跃的僵尸网络家族之一,曾多次被安全厂商披露,在本案例中Billgates bot通过生成器生成,可配置ip/域名及端口。

Billgates bot生成器

持久化配置

Billgates Bot在多个目录创建了自启动脚本及文件。包括在自启动目录init.d创建自启动脚本

DbSecuritySpt及在rc.d多个目录创建了自启动项

创建的自启动项:

/etc/rc.d/init.d/DbSecuritySpt
/etc/rc.d/init.d/selinux
/etc/rc.d/rc1.d/S97DbSecuritySpt
/etc/rc.d/rc1.d/S99selinux
/etc/rc.d/rc2.d/S97DbSecuritySpt
/etc/rc.d/rc2.d/S99selinux
/etc/rc.d/rc3.d/S97DbSecuritySpt
/etc/rc.d/rc3.d/S99selinux
/etc/rc.d/rc4.d/S97DbSecuritySpt
/etc/rc.d/rc4.d/S99selinux
/etc/rc.d/rc5.d/S97DbSecuritySpt
/etc/rc.d/rc5.d/S99selinux

DDoS攻击

在函数MainProcess中完成主要的DDoS攻击功能,包括Tcp/Udp/Syn洪水攻击,DNS反射攻击等。

完整的攻击类型如下:


MainProcess函数DDoS功能:


三、针对Windows平台的后门分析

该黑产团伙投放的Windows平台后门木马,也是通过生成器生成,可配置C2上线地址,监听端口,及标识码。此外还可以选择是否加UPX壳及是否添加到开机自启动(默认添加)。有后门类木马的几乎所有功能,包括键盘记录嗅探,文件下载、上传、执行,执行CMD命令等等。目前其C2地址为116.207.21.252|xnsj.f3322.net:1999

功能函数:


四、安全建议

1.   针对Linux平台的排查:可通过排除相关启动项查看是否中招,如果有包含

/etc/rc.d/init.d/DbSecuritySpt等自启动项则表示已经中招,建议网管及时清除。

2.   推荐企业用户使用腾讯T-Sec终端安全管理系统(御点)查杀该团伙安装的Windows系统后门木马;


3.   建议网管使用高强度密度,并经常更换,避免遭遇爆破入侵。

推荐企业用户部署腾讯安全完整解决方案提升系统安全性。

腾讯安全解决方案部署示意图(图片可放大)

企业用户可根据业务节点拦截位置部署适当的安全产品,并根据腾讯安全威胁情报中心提供的情报数据配置各节点联防联动、统一协调管理,可参考下表选择:

拦截

位置

安全产品

解决方案

云上

业务

腾讯云T-Sec

安全运营中心(云SOC

免费试用云SOC产品

云上业务的事前安全预防、事中监测与威胁检测及事后响应处置。

事前环节:云上资产的自动化动态盘点。识别云上配置风险,云上高危端口及组件的自动化检查。

事中环节:云上安全产品告警统一监测,流量威胁感知,识别云上攻击和失陷主机行为。

事后环节:对特定安全事件实现自动化响应,云上安全日志审计与调查溯源。

云上安全态势及安全成果的可视化展示。

云防火墙

Cloud FirewallCFW

一款基于公有云环境下的 SaaS 化防火墙,主要为用户提供互联网边界的防护,解决云上访问控制的统一管理与日志审计的安全与管理需求。

腾讯T-Sec

安全运营中心(专有云)

扫码了解更多信息

以安全检测、事件关联及智能分析为核心功能,并以腾讯威胁情报、3D可视化为特色。通过海量数据多维度分析、对威胁及时预警并做出智能处置。

适用于多种安全运营管理场景,帮助企业打造全网安全态势可知、可见、可控的闭环。

https://cloud.tencent.com/product/soc-private

腾讯T-Sec

威胁情报云查服务

SaaS

SaaS形式自动化威胁情报查询产品:

满足对IP/Domain/文件等对象的威胁查询、SaaS形式威胁情报查询及溯源产品“T-Sec高级威胁追溯系统”。

https://cloud.tencent.com/product/tics

腾讯T-Sec

威胁情报平台(TIP

将腾讯安全最新的威胁情报能力变成一套可本地部署的威胁情报管理平台,帮助企业在内网/专网/私有云等环境实现威胁情报管理和查询。

根据威胁情报提供的IOCs信息,将失陷数据同步到网络中的各个设备,对危险访问、入侵流量、恶意文件进行检测、识别和拦截。

腾讯TIP平台的IOCs信息可自动同步,也支持管理员手动添加。

腾讯T-Sec

高级威胁追溯系统

进行线索研判、攻击定性和关联分析,追溯威胁源头,有效预测威胁的发生并及时预警。

https://cloud.tencent.com/product/atts

网络

资产

风险

检测

腾讯T-Sec 网络资产风险检测系统(腾讯御知)

免费试用腾讯御知

全面检测企业网络资产是否受安全漏洞影响。

可全方位监控企业网站、云主机、小程序等资产存在的风险,包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。

http://yuzhi.qq.com

入侵

流量

检测

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。

https://cloud.tencent.com/product/nta

主机

终端

保护

腾讯T-Sec终端安全管理系统

(御点)

拦截病毒木马攻击终端系统;

支持集中检测、修复各终端系统存在的安全漏洞;

支持启用文档守护者功能自动备份重要资料文件。

https://s.tencent.com/product/yd/index.html

个人用户推荐使用腾讯电脑管家保护终端系统。

安全服务

腾讯安全定期巡检服务

由腾讯安全团队专业工程师提供定期巡检服务,对客户采购的全系列腾讯安全解决方案的运行维护情况提供详细专业的技术报告。

更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/

IOCs:

MD5

488d0393825b9d4aeebd30e236020d78

e133a6078a38e983c1a7a3fb14670c63

fe642d12ef1f884395a3bfd501949ebf

b21f8aa2d18cb64b779161d475b68209

7145110d75992a0f0ab2332293fb73ab

b4caaea9a5621a595d051da143b40015

935c5a016862605b9d62564c3acdb2aa

544344fb1410184109f85e6343bf0e15

4363993917d8386de4a4d07b4a1f70de

49ec29cab36ccf726c8c25f7aca6875c

be89d31b7d876bc6058bd8e64f88c9e1

IP

116.207.21.252   

111.176.102.38   

116.207.16.45     

111.176.101.97   

域名:

xnsj.f3322.net

最新资讯