0x01 概述

僵尸网络使用的常见感染方式是攻击者扫描互联网的网络漏洞，然后利用恶意软件或后门感染设备。服务器对于其他个人消费设备的优势是服务器能够始终在线并具有高带宽和强大的硬件。而且许多服务器并没有防病毒解决方案。

一旦网上公开了0day远程代码执行漏洞，经常会在网络上看到许多扫描。其中一些扫描是研究人员，但更多的是恶意攻击尝试。在Apache Struts 2（CVE-2017-5638）即S2-045中，F5的研究人员在网络上观察到了大约10个不同的网络活动。有一个十分的特别。

0x02 恶意软件简单分析

这个网络活动是在S2-045漏洞被披露几天之后发现的，即2017年3月6日开始的。3月10日，我们开始观察这个网络活动的差异。虽然它看起来与其他S2-045网络活动相似，但攻击传染媒介似乎是对原有的公开poc做了轻微的修改。

图1：S2-045的正常网络活动

这个漏洞是利用HTTP请求头中的Content-Type值触发漏洞，攻击者使用shell命令进行自定义，进而执行系统命令。

在这个网络运动的第一天，shell命令观察到被感染机器上用Perl语言编写的“PowerBot”恶意软件，并且DDoS被其作为主要功能（也称为PerlBot或Shellbot）。

在互联网扫描到网络漏洞后，最常见的攻击策略和典型的感染策略的执行命令步骤是：从远程服务器下载恶意软件，将其设置为可执行（在二进制文件），运行恶意软件，并删除初始感染文件。

通常，Payloads依赖于目标服务器上已经被安装的程序，然后下载恶意软件，如wget和curl。但是在这个运动中，攻击者还利用了较不常见的“fetch”程序以及“wget”的特殊模式。通过使用“wget –qO –”选项，来下载恶意软件文件，但实际上并不写入磁盘上的文件。相反，内容被重定向到Perl解释器执行，从而最小化本地可检测的足迹。

一旦恶意软件到位，受感染的服务器将连接到IRC通道，然后从僵尸网络主机中检索命令，如图2和图3所示。在加入IRC时，研究人员观察到，它在撰写本文时，僵尸网络拥有包括生产服务器的2538名受害者。而且这个数字只适用于一个IRC频道。

图2：IRC通道包含有2538台服务器连接

通过连接到该IRC通道，并随机浏览受感染主机的一些名称和IP地址，我们可以找到在AWS基础设施上托管的生产服务器和服务器。

图3：受感染计算机连接到IRC通道的示例

0x03 从DDoS到Crypto货币采矿

在观察运动开始几天之后，F5研究人员看到这个运动发生了变化。Payload从Perl切换到Bash脚本，但事实证明它部署了两种不同类型的spearhead恶意软件。spearhead exploit下载并执行相同的PERL bot。

图4：下载并运行PERL bot

然而，“minerd”加密的硬币开采计划将下载其所有的先决条件。攻击者把恶意进程及其配置伪装起来，名称与Apache服务器类似，使受感染的用户列出所有正在运行的进程时，让它看起来是无害的。

图5：下载“minerd”及其配置

然后，bot将硬币挖掘变成几个合法的加密池，如图6中的配置文件所示。

图6：“minerd”配置文件

这些cryptocoin池似乎是在法国的“crypto-pool.fr”域名下托管的，如图7所示。

图7：法国在线SAS网络中的采矿主机

其中这个恶意软件最迷人的方面是创新技术，它使用spearhead exploit进行自我传播。它将在此服务器上搜索服务器管理员连接到的所有远程IP地址，并搜索SSH的“known_hosts”文件，该文件保存了管理员连接的所有服务器的IP地址和指纹。它还会扫描Bash历史文件以获取SSH命令中使用的任何IP地址。一旦编辑了IP地址列表，脚本将尝试通过SSH连接它们。如果配置的认证设置为使用密钥文件而不是用户名和密码，那么恶意软件就可以在远程计算机上成功复制自身。

图8：恶意软件传播到其他已知的服务器

ShellShock连接

一般来说，威胁人员十分喜欢新的0day。这个网络活动中的一个IP地址来自香港，如图9所示。这个地址以前为ShellShock（CVE-2014-6271）漏洞提供类似的有效载荷。

图9：香港Wharf T&T network的攻击主机。

F5研究人员指出，恶意软件文件名称保持不变为“.mailer”和“a”，如图10和11所示。但是，密码挖掘池和帐户已更改，如图12所示。

图10：ShellShock exploit提供“.mail” PERL PowerBot

图11：ShellShock exploit提供了“a”的spearhead bash脚本

图12：加密货币矿池配置

扩展到服务器Ransomware

通过利用Web漏洞传播Linux DDoS恶意软件经常在网上观察到，去年以来服务器ransomware似乎是新兴趋势之一。

在上面描述的Apache Struts运动背后的攻击者（令人惊讶地他使用相同的IP地址）在这个星期的3月20 日再次改变了这个网络活动。这一次，有效的感染Windows机器与“Cerber” ransomware。

Jakarta Multipart解析器利用的结构与先前用于传递payloads攻击结构相同。但是，当执行的shell命令运行Windows BITSAdmin和ftp命令时（其中附带每个Windows服务器）下载并运行文件“1.exe”，如图13所示。

图13：APACHE STRUTS exploit提供Windows ransomware的功能

一旦运行，恶意软件加密文件并显示带有赎金消息的图像，如图14所示。

图14：Ransom message息一旦被感染

根据通常的ransomware方法，受害者被指示如何支付赎金以使其文件恢复，如图15所示。

图15：Ransom支付指令

F5研究人员分析了这种恶意软件变体，发现作者添加了修改Windows防火墙规则的功能，以阻止从安装的防病毒软件的互联网通信功能，从而防止更新和报告。具体规则如图16所示。

图16：Ransomware阻止Windows Defender

它查找已安装的安全产品，恶意软件首先在“AntiSpywareProduct”和“FirewallProduct”类上运行WMI查询。

图17：获取安装的安全产品列表的WMI查询

然后，它遍历通过查询产生的文件和文件夹，并将其添加到防火墙规则（如果它们是可执行文件）。

图18：添加防火墙规则来阻止安全产品通信

Ransom赏金

在查看用于赎金支付的比特币帐户的交易时，我们可以看到，攻击者在不到3周的时间内获得了超过84个BTC（等于超过86,000美元）。我们可以看到，第一次支付是在3月11 日发生的，赎金约为200美元。

图19：Bitcoin帐户位于恶意软件的配置中

图20：恶意软件帐户的比特币交易

0x04 最后

正如我们上面看到的，现有的威胁人员如何在其威胁系列中从使用旧的网络漏洞来适应切换到新发布的0day漏洞。这给他们一个新的漏洞窗口来利用，而防御者只能安装补丁。

Apache Struts中的新漏洞为威胁人员提供了一个目标丰富的环境，以扩展业务，同时感染数千个新服务器。现在他们使用ransomware来定位服务器，来获取更多的利益，而不是个人了，因为这些服务器通常由拥有更深厚的组织和更好的基础架构运行，这对于他们的业务可能至关重要。

 

*作者：F5 ，