本篇文章给大家分享的是有关Rocke黑客组织活动实例分析,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。
Rocke组织概况
Rocke活动最初于2018年8月报道。Rocke最初专注于Linux的Xbash工具,该工具是一款数据破坏恶意软件。 Xbash通过利用目标未修补的漏洞进行攻击,然后使用弱密码进行横向扩展。当Rocke攻击一个组织时,它要求受害者支付0.2,0.15或0.02比特币(BTC)来恢复丢失的数据。但由于Xbash在勒索赎金之前删除了数据库表,因此Rocke无法恢复任何数据。Rocke的BTC钱包包含48笔转账,包含0.964 BTC。
Rocke攻击流程
该组织的第一个加密脚步是用Python编写的,并使用Pastebin、GitHub作为下载第一阶段有效payload的平台。截至2019年3月12日,Rocke也开始使用Golang。第一阶段payload引导受害者连接到Rocke域或IP地址,触发第二阶段payload的下载。
该组织有12步操作的特点,自Rocke首次报道以来,该风格保持一致:
1、攻击者将第一个有效负载上传到第三方站点(例如,Pastebin,GitHub)
2、引诱受害者导航到Pastebin / GitHub(例如,鱼叉式网络钓鱼)
3、利用已知漏洞(例如,Oracle WebLogic,Adobe ColdFusion,Apache Struts)
4、受害者下载后门(例如,Shell Scripts,JavaScript Backdoor)
5、受害者通过Python或Golang脚本运行第一个payload并连接到C2服务器
6、下载并执行第二个payload,获得对系统的管理访问权限
7、通过cron作业命令建立持久控制
8、搜索并杀死以前安装的加密进程
9、添加“IPtables”规则以阻止未来进行的加密过程
10、卸载基于代理的云安全工具(例如,腾讯云,阿里云)
11、下载并安装Monero挖矿软件
12、隐藏进程
Rocke基础架构
Rocke通过硬编码IP地址,URL地址、域名注册与受害人进行连接,将8个域与Rocke C2操作联系起来。 下图列出了域和Rocke基础架构(参见表1)。
Rocke新攻击
在分析Godlua之前,研究表明Rocke恶意软件在受到破坏的云系统上执行单一操作功能。 但是Godlua的报告引用了包含类似于Rocke的TTP的恶意软件样本。经过进一步研究,确定不仅TTP匹配,而且还有硬编码域,URL和IP地址与先前报告的Rocke恶意软件硬编码值相同。研究人员分析了Reddit(致力于减少网络恶意软件的白帽组织)中的四个二进制文件,并确认了样本中包含的硬编码Rocke域systemten [.] org。样本还包含与已知Rocke报告的Pastebin URL的硬编码链接:
hxxps://pastebin[.]com/raw/HWBVXK6H
hxxps://pastebin[.]com/raw/60T3uCcb
hxxps://pastebin[.]com/raw/rPB8eDpu
hxxps://pastebin[.]com/raw/wR3ETdbi
hxxps://pastebin[.]com/raw/Va86JYqw
hxxps://pastebin[.]com/raw/Va86JYqw
正如Godlua分析报告中所见,IP地址104.238.151 .101和URL d.heheda.tk,c.heheda.tk和dd.heheda.tk为硬编码。 发布到Reddit的与Rocke组织有关的恶意软件中也发现C2连接被发送到三个heheda. tk域,这些域已解析为IP地址104.238.151.101。 另外,样本包含已知的Rocke域sowcar[.]com, z9ls[.]com, baocangwh[.]cn, gwjyhs[.]com,和 w2wz[.]cn.的硬编码值。有关如何将已知的Rocke域与从Godlua和Reddit IoC报告中提取请参见图1。
该报告提供的证据表明,Rocke已经添加了第三阶段恶意软件组件,该组件向c.heheda.tk或c.cloudappconfig. com执行第三个C2请求,从而下载名为Godlua的LUA脚本。 该恶意软件为Rocke的操作提供了模块化功能。 除DoS功能外,恶意软件还引入了以下新功能:
HANDSHAKE
HEARTBEAT
LUA
SHELL
UPGRADE
QUIT
SHELL2
PROXY
Godlua报告还提供了Rocke已添加LUA切换功能。 报告指出,攻击者对域名www.liuxiaobei.com进行了DoS攻击。 此域名无法解析为任何已知系统,目前尚不清楚第三阶段恶意软件还实现了哪些功能。 但是,通过“Shell”,“Shell2”,“升级”和“代理”等选项,恶意软件可能是模块化系统代理的开始,它允许Rocke 利用新添加功能模块更灵活的加密和破坏数据。
NetFlow中的发现
通过在云端捕获NetFlow通信研究人员发现,28.1%的被调查云环境至少与已知的Rocke C2域进行了一次活动通信会话。 从2018年12月至今,其中一些还保持着日常联系。
通过分析Rocke的TTP模式,在指定时间范围内将已知的Rocke域解析为IP地址,并根据这些IP地址以及与Rocke链接的硬编码IP地址查询网络流量,从中发现了Rocke通信。
硬编码IP地址为受害目标提供了明确的连接。 在撰写本文时,已知自2019年1月1日起,104.238.151.101已解析为以下URL:
c.cloudappconfig[.]com
d.cloudappconfig[.]com
f.cloudappconfig[.]com
img0.cloudappconfig[.]com
img2.cloudappconfig[.]com
v.cloudappconfig[.]com
c.heheda[.]tk
d.heheda[.]tk
dd.heheda[.]tk
这些URL与Godlua和Reddit报告中的URL一致,与此IP地址任何连接都应被视为恶意连接。 研究人员确定了来自四个受监控组织的411个连接,这些组织与IP地址104.238.151.101建立了八个或更多的网络连接。 组织1中,第一次看到的连接和最后看到的连接之间的最长时间是五天,单个连接的最短时间为组织4的一小时(见表2)。
从104.238.151.101推断,这四个组织也与其他已知的Rocke域相关联。 组织1在2019年4月12日至5月31日期间连接到三个Rocke域,有290个连接。 组织4在2019年3月20日至5月15日期间连接到7个域,具有8,231个连接。 如表3所示,四个组织在与Rockede的硬编码IP地址104.238.151.101连接的时间段内连接到七个已知Rocke域中的一个或多个。
Rocke通信模式
研究人员试图确定是否可以使用NetFlow数据识别从Pastebin下载的初始有效负载。研究人员发现,共有50个组织与Pastebin建立了网络连接。在这50个组织中,有8个组织在与Rocke域的连接的同一小时内与Pastebin建立了网络连接。由于NetFlow流量最小粒度为一小时,且缺乏完整的数据包来确认网络连接的性质,因此无法准确地确定组织被攻击破坏的时间。
在查看NetFlow数据中的Rocke网络流量时,会出现一种截然不同的模式(参见图2)。首先,使用Pastebin建立连接,然后连接到Rocke域。从图像中可以看出,该模式每小时重复一次。此外,图2显示了连接到Pastebin,然后连接到已知的Rocke域,z9ls.com和systemten.org,在同一时间内连接到硬编码的IP地址104.238.151.101。此模式为第三阶段恶意软件活动功能特点,表示信标或心跳样式的活动。
解决方案
要在云环境中解决Rocke入侵问题,建议执行以下操作:
1、使用最新的修补程序和版本更新更新所有云系统模板。
2、使用最新的修补和更新的云模板循环配置所有云系统。
3、购买并配置云监控产品,包括对合规性,网络流量和用户行为的检查。
4、查看云网络配置,安全策略和组,以确保它们符合当前的合规性要求。
5、使用云容器漏洞扫描程序。
6、更新所有威胁情报源。
7、调查云网络流量连接到已知的恶意域或IP。
8、调查组织云环境中出口流量的云网络流量。
Rocke组织持续发展其工具,并利用2016年和2017年发布的漏洞攻击配置不当的云基础架构。该组织使用隐藏状态下的恶意软件获得对云系统的管理访问权限。可根据恶意软件通信模式以及硬编码ip和url对其进行防护。
以上就是Rocke黑客组织活动实例分析,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注亿速云行业资讯频道。
原创文章,作者:3628473679,如若转载,请注明出处:https://blog.ytso.com/221843.html