摘要:發佈到Reddit的與Rocke組織有關的惡意軟件中也發現C2連接被髮送到三個heheda. tk域,這些域已解析爲IP地址104.238.151.101。該報告提供的證據表明,Rocke已經添加了第三階段惡意軟件組件,該組件向c.heheda.tk或c.cloudappconfig. com執行第三個C2請求,從而下載名爲Godlua的LUA腳本。

概述

網絡犯罪集團Rocke,主要針對目標爲雲服務。

通過分析2018年12月至2019年6月16日的NetFlow數據,我們發現調查目標中28​​.1%的雲環境與Rocke控制(C2)域有過網絡通信數據。其中一些還保持着日常聯繫。與此同時,20%保持每小時心跳數據傳輸。該組織還發布了一個名爲Godlua的新工具,該工具可以充當代理,允許攻擊者執行其他腳本操作,如拒絕服務(DoS)攻擊,網絡代理和shell功能。

Rocke組織概況

Rocke活動最初於2018年8月報道。Rocke最初專注於Linux的Xbash工具,該工具是一款數據破壞惡意軟件。 Xbash通過利用目標未修補的漏洞進行攻擊,然後使用弱密碼進行橫向擴展。當Rocke攻擊一個組織時,它要求受害者支付0.2,0.15或0.02比特幣(BTC)來恢復丟失的數據。但由於Xbash在勒索贖金之前刪除了數據庫表,因此Rocke無法恢復任何數據。Rocke的BTC錢包包含48筆轉賬,包含0.964 BTC。

Rocke攻擊流程

該組織的第一個加密腳步是用Python編寫的,並使用Pastebin、GitHub作爲下載第一階段有效payload的平臺。截至2019年3月12日,Rocke也開始使用Golang。第一階段payload引導受害者連接到Rocke域或IP地址,觸發第二階段payload的下載。

該組織有12步操作的特點,自Rocke首次報道以來,該風格保持一致:

1、攻擊者將第一個有效負載上傳到第三方站點(例如,Pastebin,GitHub)

2、引誘受害者導航到Pastebin / GitHub(例如,魚叉式網絡釣魚)

3、利用已知漏洞(例如,Oracle WebLogic,Adobe ColdFusion,Apache Struts)

4、受害者下載後門(例如,Shell Scripts,JavaScript Backdoor)

5、受害者通過Python或Golang腳本運行第一個payload並連接到C2服務器

6、下載並執行第二個payload,獲得對系統的管理訪問權限

7、通過cron作業命令建立持久控制

8、搜索並殺死以前安裝的加密進程

9、添加“IPtables”規則以阻止未來進行的加密過程

10、卸載基於代理的雲安全工具(例如,騰訊雲,阿里雲)

11、下載並安裝Monero挖礦軟件

12、隱藏進程

Rocke基礎架構

Rocke通過硬編碼IP地址,URL地址、域名註冊與受害人進行連接,將8個域與Rocke C2操作聯繫起來。 下圖列出了域和Rocke基礎架構(參見表1)。

Rocke新攻擊

在分析Godlua之前,研究表明Rocke惡意軟件在受到破壞的雲系統上執行單一操作功能。 但是Godlua的報告引用了包含類似於Rocke的TTP的惡意軟件樣本。經過進一步研究,確定不僅TTP匹配,而且還有硬編碼域,URL和IP地址與先前報告的Rocke惡意軟件硬編碼值相同。研究人員分析了Reddit(致力於減少網絡惡意軟件的白帽組織)中的四個二進制文件,並確認了樣本中包含的硬編碼Rocke域systemten [.] org。樣本還包含與已知Rocke報告的Pastebin URL的硬編碼鏈接:

hxxps://pastebin[.]com/raw/HWBVXK6H

hxxps://pastebin[.]com/raw/60T3uCcb

hxxps://pastebin[.]com/raw/rPB8eDpu

hxxps://pastebin[.]com/raw/wR3ETdbi

hxxps://pastebin[.]com/raw/Va86JYqw

hxxps://pastebin[.]com/raw/Va86JYqw

正如 Godlua分析報告 中所見,IP地址104.238.151 .101和URL d.heheda.tk,c.heheda.tk和dd.heheda.tk爲硬編碼。 發佈到Reddit的與Rocke組織有關的惡意軟件中也發現C2連接被髮送到三個heheda. tk域,這些域已解析爲IP地址104.238.151.101。 另外,樣本包含已知的Rocke域sowcar[.]com, z9ls[.]com, baocangwh[.]cn, gwjyhs[.]com,和 w2wz[.]cn.的硬編碼值。有關如何將已知的Rocke域與從Godlua和Reddit IoC報告中提取請參見圖1。

該報告提供的證據表明,Rocke已經添加了第三階段惡意軟件組件,該組件向c.heheda.tk或c.cloudappconfig. com執行第三個C2請求,從而下載名爲Godlua的LUA腳本。 該惡意軟件爲Rocke的操作提供了模塊化功能。 除DoS功能外,惡意軟件還引入了以下新功能:

HANDSHAKE
HEARTBEAT
LUA
SHELL
UPGRADE
QUIT
SHELL2
PROXY

Godlua報告還提供了Rocke已添加LUA切換功能。 報告指出,攻擊者對域名 www.liuxiaobei.com 進行了DoS攻擊。 此域名無法解析爲任何已知系統,目前尚不清楚第三階段惡意軟件還實現了哪些功能。 但是,通過“Shell”,“Shell2”,“升級”和“代理”等選項,惡意軟件可能是模塊化系統代理的開始,它允許Rocke 利用新添加功能模塊更靈活的加密和破壞數據。

NetFlow中的發現

通過在雲端捕獲NetFlow通信研究人員發現,28.1%的被調查雲環境至少與已知的Rocke C2域進行了一次活動通信會話。 從2018年12月至今,其中一些還保持着日常聯繫。

通過分析Rocke的TTP模式,在指定時間範圍內將已知的Rocke域解析爲IP地址,並根據這些IP地址以及與Rocke鏈接的硬編碼IP地址查詢網絡流量,從中發現了Rocke通信。

硬編碼IP地址爲受害目標提供了明確的連接。 在撰寫本文時,已知自2019年1月1日起,104.238.151.101已解析爲以下URL:

c.cloudappconfig[.]com

d.cloudappconfig[.]com

f.cloudappconfig[.]com

img0.cloudappconfig[.]com

img2.cloudappconfig[.]com

v.cloudappconfig[.]com

c.heheda[.]tk

d.heheda[.]tk

dd.heheda[.]tk

這些URL與Godlua和Reddit報告中的URL一致,與此IP地址任何連接都應被視爲惡意連接。 研究人員確定了來自四個受監控組織的411個連接,這些組織與IP地址104.238.151.101建立了八個或更多的網絡連接。 組織1中,第一次看到的連接和最後看到的連接之間的最長時間是五天,單個連接的最短時間爲組織4的一小時(見表2)。

從104.238.151.101推斷,這四個組織也與其他已知的Rocke域相關聯。 組織1在2019年4月12日至5月31日期間連接到三個Rocke域,有290個連接。 組織4在2019年3月20日至5月15日期間連接到7個域,具有8,231個連接。 如表3所示,四個組織在與Rockede的硬編碼IP地址104.238.151.101連接的時間段內連接到七個已知Rocke域中的一個或多個。

Rocke通信模式

研究人員試圖確定是否可以使用NetFlow數據識別從Pastebin下載的初始有效負載。研究人員發現,共有50個組織與Pastebin建立了網絡連接。在這50個組織中,有8個組織在與Rocke域的連接的同一小時內與Pastebin建立了網絡連接。由於NetFlow流量最小粒度爲一小時,且缺乏完整的數據包來確認網絡連接的性質,因此無法準確地確定組織被攻擊破壞的時間。

在查看NetFlow數據中的Rocke網絡流量時,會出現一種截然不同的模式(參見圖2)。首先,使用Pastebin建立連接,然後連接到Rocke域。從圖像中可以看出,該模式每小時重複一次。此外,圖2顯示了連接到Pastebin,然後連接到已知的Rocke域,z9ls.com和systemten.org,在同一時間內連接到硬編碼的IP地址104.238.151.101。此模式爲第三階段惡意軟件活動功能特點,表示信標或心跳樣式的活動。

解決方案

要在雲環境中解決Rocke入侵問題,建議執行以下操作:

1、使用最新的修補程序和版本更新更新所有云系統模板。
2、使用最新的修補和更新的雲模板循環配置所有云系統。
3、購買並配置雲監控產品,包括對合規性,網絡流量和用戶行爲的檢查。
4、查看雲網絡配置,安全策略和組,以確保它們符合當前的合規性要求。
5、使用雲容器漏洞掃描程序。
6、更新所有威脅情報源。
7、調查雲網絡流量連接到已知的惡意域或IP。
8、調查組織雲環境中出口流量的雲網絡流量。

總結

Rocke組織持續發展其工具,並利用2016年和2017年發佈的漏洞攻擊配置不當的雲基礎架構。該組織使用隱藏狀態下的惡意軟件獲得對雲系統的管理訪問權限。可根據惡意軟件通信模式以及硬編碼ip和url對其進行防護。

IOCs

Domains

sowcar[.]com

thyrsi[.]com

w2wz[.]cn

baocangwh[.]cn

z9ls[.]com

gwjyhs[.]com

heheda[.]tk

cloudappconfig[.]com

systemten[.]org

IPs

43.224.225[.]220

67.21.64[.]34

103.52.216[.]35

104.248.53[.]213

104.238.151[.]101

198.204.231[.]250

205.185.122[.]229

Hashes

1608899ff3bd9983df375fd836464500f160f6305fcc35cfb64abbe94643c962

28f92f36883b69e281882f19fec1d89190e913a4e301bfc5d80242b74fcba6fe

a84283095e0c400c3c4fe61283eca6c13dd0a6157a57adf95ae1dcec491ec519

6797018a6f29ce3d447bd3503372f78f9513d4648e5cd3ab5ab194a50c72b9c4

*本文作者:Kriston,轉載請註明來自FreeBuf.COM

相關文章