一、概述

Palo Alto Networks Unit 42团队近期捕获了Rocke组织使用的Linux加密货币挖掘恶意软件的新样本,并对其进行了深入分析。该恶意软件家族被怀疑是由Iron网络犯罪组织开发而成的,并且也与我们在2018年9月分析的Xbash恶意软件相关。恶意组织Rocke最初是由Talos团队在2018年8月发现并发布的,并且在他们的博客中,披露了许多引人注意的行为。本文我们所分析的样本,是在2018年10月收集的,在当时,该恶意组织所使用的命令与控制服务器已经关闭。

在我们的分析过程中,我们发现Rocke组织所编写的这些样本,都采用了新的代码来卸载五种不同的云安全防护软件,并监控来自受感染Linux服务器的产品。我们的分析表明,该恶意软件并没有攻破这些安全产品,而是首先获得对主机的完整管理员权限,然后滥用完整的管理员权限来卸载这些产品,就如同合法的管理员操作一样。

这些产品分别由腾讯云和阿里云开发,他们是国内领先的两家云服务提供商,并且正在拓展全球业务。据我们所知,该恶意软件是首个卸载云安全产品特定功能的恶意软件系列。这也凸显出Gartner定义的云工作负载保护平台(Cloud Workload Protection Platforms)市场中产品所面临的新挑战。

二、Rocke恶意组织使用的挖矿工具

Rocke组织在2018年7月首次由Cisco Talos团队发现,该威胁的最终目标是在被感染的Linux主机中挖掘门罗币(Monero)加密货币。

为了将恶意软件传递给受害计算机,Rocke组织利用了Apache Struts 2、Oracle WebLogic和Adobe ColdFusion中的漏洞。举例来说,通过利用Linux中的Oracle WebLogic漏洞CVE-2017-10271(如图1所示),受感染的Linux计算机将会下载后门文件0720.bin,并打开Shell。

在建立C&C连接后,Rocke组织的恶意软件会将名为“a7”的Shell脚本下载到受害者计算机。a7的行为包括:

1、通过Cronjob实现持久性;

2、终止(Kill)其他加密货币挖矿进程;

3、添加iptables规则,阻止其他挖掘加密货币的恶意软件;

4、卸载基于代理(Agent-Based)的云安全产品;

5、从blog[.]sydwzl[.]cn位置下载并运行采用UPX加壳的加密货币挖矿程序;

6、使用带有LD_PRELOAD技巧的开源工具“libprocesshider”,从Linux的ps命令中隐藏进程;

7、调整恶意文件的日期和时间;

三、云工作负载保护平台

根据Gartner的报告,云工作负载保护平台(CWPP)是基于代理的工作负载中心安全保护解决方案。为了减轻恶意软件入侵在公有云基础架构中的影响,云服务提供商开发自己的CWPP作为服务器安全运营和管理产品。

举例来说,腾讯云提供了云镜(腾讯主机安全),实现各类安全保护。根据其产品概述文档,腾讯主机安全提供了基于机器学习的木马检测与清楚、密码破解警报、日志活动审计、漏洞管理和资产管理等关键安全功能,如下图所示。

阿里云提供了名为安骑士(威胁检测服务)的云安全产品。阿里云威胁检测服务提供基于大数据的恶意软件扫描与清除、漏洞管理、日志分析和威胁分析等安全服务。

一些第三方网络安全公司也提供云工作负载保护平台服务。例如,趋势科技、赛门铁克、微软都有其自己的云安全产品,用于公有云基础架构。与所有安全产品一样,攻击者会竭尽全力的尝试逃避这些系统,以实现其最终目标。

四、逃避云工作负载保护平台的检测

为应对来自云服务提供商的基于代理的云工作负载保护平台,Rocke组织在其开发的恶意软件中,逐渐增加了在出现任何恶意行为之前逃避检测的能力。更具体地来说,恶意软件能够卸载阿里云和腾讯云的云安全产品。

在Rocke开发的恶意软件的早期版本中,它只会尝试终止腾讯云监控进程,如下图所示。

但是,恶意软件的作者很快就意识到,只终止云监控服务还不足以逃避基于代理的云安全产品对其的检测。于是,恶意软件的作者继续开发更加有效的方法,通过终止更多基于代理的云安全服务来逃避检测。

在腾讯云和阿里云的官方网站上,都提供了文档,指导用户如何卸载其云安全产品。卸载阿里威胁检测服务的文档如下图所示。

卸载腾讯云主机安全的文档如下图所示。

Rocke组织使用的恶意软件,使用了阿里云和腾讯云提供的卸载程序,并参考了互联网上的一些博客文章,进行云安全产品的卸载。其核心卸载函数如下图所示。

该函数可以卸载:

1、阿里巴巴威胁检测服务(Alibaba Threat Detection Service)代理;

2、阿里巴巴云监控(Alibaba CloudMonitor)代理,可监控CPU、内存消耗、网络连接;

3、阿里巴巴助手(Alibaba Assistant)代理,用于自动管理实例的工具;

4、腾讯主机安全(Tencent Host Security)代理;

5、腾讯云监控(Tencent Cloud Monitor)代理。

在卸载基于代理的云安全和监控产品后,Rocke组织使用的恶意软件开始表现出恶意行为。我们相信,这种独特的逃避行为将成为针对公有云基础架构的恶意软件的新趋势。

五、缓解方法

Palo Alto Networks Unit 42正在与腾讯云和阿里云合作,以解决恶意软件逃避检测的问题,并处理恶意C&C基础设施。此外,我们使用PAN-DB URL过滤器将恶意C&C域名进行了标识。

六、总结

公有云基础架构是该网络犯罪组织的主要目标之一。攻击者已经意识到,现有的云监控和安全产品可能会检测到潜在的恶意软件入侵,因此他们不断开发新的逃避技术,以避免被云安全产品检测到。

Rocke组织使用的恶意软件变种就是一个例子,它表明基于代理的云安全解决方案可能不足以防范针对公有云基础架构的恶意软件。

七、IoC

7.1 具有逃避行为的恶意软件样本

· 2e3e8f980fde5757248e1c72ab8857eb2aea9ef4a37517261a1b013e3dc9e3c4

· 2f603054dda69c2ac1e49c916ea4a4b1ae6961ec3c01d65f16929d445a564355

· 28ea5d2e44538cd7fec11a28cce7c86fe208b2e8f53d57bf8a18957adb90c5ab

· 232c771f38da79d5b8f7c6c57ddb4f7a8d6d44f8bca41be4407ed4923096c700

· 893bdc6b7d2d7134b1ceb5445dbb97ad9c731a427490d59f6858a835525d8417

· 9300f1aa56a73887d05672bfb9862bd786230142c949732c208e5e019d14f83a

· 27611b92d31289d023d962d3eb7c6abd194dbdbbe4e6977c42d94883553841e8

· d341e3a9133e534ca35d5ccc54b8a79f93ff0c917790e7d5f73fedaa480a6b93

· ed038e9ea922af9f0bf5e8be42b394650fa808982d5d555e6c50c715ff2cca0c

· 4b74c4d66387c70658238ac5ab392e2fe5557f98fe09eadda9259ada0d87c0f1

· e391963f496ba056e9a9f750cbd28ca7a08ac4cfc434bee4fc57a292b11941e6

· 017dee32e287f37a82cf6e249f8a85b5c9d4f090e5452118ccacaf147e88dc66

7.2 C&C通信域名

· dwn[.]rundll32[.]ml

· www[.]aybc[.]so

· a[.]ssvs[.]space

· sydwzl[.]cn

7.3 C&C通信IP

· 118.24.150[.]172(腾讯云)

· 120.55.54[.]65(阿里云)

7.4 代码更新URL

· hxxps://pastebin[.]com/raw/CnPtQ2tM

· hxxps://pastebin[.]com/raw/rjPGgXQE

· hxxps://pastebin[.]com/raw/1NtRkBc3

· hxxps://pastebin[.]com/raw/tRxfvbYN

· hxxps://pastebin[.]com/raw/SSCy7mY7

· hxxps://pastebin[.]com/raw/VVt27LeH

· hxxps://pastebin[.]com/raw/Fj2YdETv

· hxxps://pastebin[.]com/raw/JNPewK6r

· hxxps://pastebin[.]com/raw/TzBeq3AM

· hxxps://pastebin[.]com/raw/eRkrSQfE

· hxxps://pastebin[.]com/raw/5bjpjvLP

· hxxps://pastebin[.]com/raw/Gw7mywhC

7.5 门罗币(XMR)钱包地址

· 42im1KxfTw2Sxa716eKkQAcJpS6cwqkGaHHGnnUAcdDhG2NJhqEF1nNRwjkBsYDJQtDkLCTPehfDC4zjMy5hefT81Xk2h7V.v7

本文翻译自:https://unit42.paloaltonetworks.com/malware-used-by-rocke-group-evolves-to-evade-detection-by-cloud-security-products/如若转载,请注明原文地址: http://www.4hou.com/business/15834.html
源链接

Hacking more

...