僵屍網絡概況
近日,阿裡雲安全監測并捕獲到一個針對雲伺服器發起攻擊的新型僵屍網絡,由于其使用的掃描、攻擊程式名為AutoUpdate,我們也據此将其命名為AutoUpdate僵屍網絡。
阿裡雲安全專家分析發現,該僵屍網絡除了正常的持久化、挖礦牟利、隐藏自身等行為外,更會掃描失陷伺服器的磁盤,盜取雲賬号Access Key等核心資料,對使用者的賬号和資料安全造成極高風險。此外,掃描攻擊所使用的漏洞武器種類繁多,對數十種常見服務均造成威脅,危害極大。
AutoUpdate僵屍網絡的傳播行為在7月7日左右達到頂峰,略微沉寂三天後又出現了新一波傳播擴散的苗頭:
使用者應提高警惕,可以購買安全産品進行有效防護,目前包括雲防火牆在内的多款阿裡雲安全産品已支援檢測、攔截該僵屍網絡的攻擊。
詳細分析
蠕蟲的行為主要分為以下幾個階段:
網絡傳播手段
該僵屍網絡使用Go語言編寫惡意軟體,并針對Linux和Windows系統分别編譯,是以在這兩種系統的主機上都能夠運作和傳播。
下面以Linux系統上的運作、傳播過程為例進行說明:
看似合法的惡意域名
該僵屍網絡使用
http://m.windowsupdatesupport.org作為主要的惡意程式下載下傳域名,該域名與微軟下載下傳更新所使用的正常網址極為相似,容易導緻防禦側混淆和漏過。
此外,攻擊者還注冊了 gunupdatepkg.com 這個與正常域名非常相似的域名,用來存放利用fastjson漏洞時需要的惡意LDAP遠端源檔案。
下載下傳和更新惡意程式
失陷伺服器首先會被執行指令,下載下傳并運作hxxp://m.windowsupdatesupport.org/d/loader.sh。
loader.sh則會下載下傳并運作kworkers,後者會讀取hxxp://m.windowsupdatesupport.org/d/windowsupdatev1.json 檔案。
windowsupdatev1.json是該僵屍網絡的配置檔案,其中包括了惡意檔案名稱、url及其最新版本資訊:
之後将每個檔案的最新版本号與存儲在主機上檔案。{filename}_ver中的原有版本号進行對比,需要更新則kill原有程序,下載下傳新程式并執行。
漏洞掃描攻擊和橫向傳播
攻擊和掃描程式AutoUpdate會利用數十種漏洞武器,對包括PostgreSQL, Mssql, Fastjson、Docker、緻遠OA、Jenkins、WebLogic、Tomcat在内的服務進行漏洞掃描和攻擊:
利用的漏洞至少包括:
多種OA軟體的遠端指令執行
Spring boot actuator遠端指令執行
Shiro反序列化漏洞
Struts2遠端指令執行
Weblogic遠端指令執行
Docker未授權通路
Jenkins 未授權指令執行
Tomcat 爆破
....
此外,攻擊者通過hxxp://m.windowsupdatesupport.org/task_scheduler 這個位址下發掃描任務,控制失陷主機掃描的網段
除了AutoUpdate外,sshkey.sh檔案會讀取失陷主機曾經免密登入過的主機清單,并在這些主機上執行惡意指令,同樣達到橫向傳播的目的:
主機層面行為
Access key盜取
在AutoUpdate程式中,存在一個非常危險的函數infocollect(),它會盜取使用者的Access key ,具體做法為周遊所有檔案夾,尋找以下字尾的配置檔案:
.conf
.properties
.yml
.config
然後使用正則比對,在檔案内容中尋找符合Access key和Secret key長度的字元串,并将找到的Ak/sk通過http請求發送給攻擊者控制的惡意伺服器 hxxp://mail.windowsupdatesupport.org
由于擷取AK後能夠調用雲賬号下的所有資源和功能,一旦AK洩露,需要盡快重置,以避免進一步的損失和風險。
終止安全軟體和其他僵屍網絡程序
loader.sh中含有終止安全軟體的指令,具體行為是結束幾種主機安全HIDS産品的程序:
此外,為確定能夠獨占失陷主機的CPU,該僵屍網絡還會kill其他僵屍網絡的程序
附加連結庫隐藏程序
下載下傳processhider.c檔案并編譯成libc2.28.so後,将該檔案附加到ld.so.preload,進而達到隐藏自身程序的目的
安全解決方案
目前雲防火牆已支援對AutoUpdate所利用的多種高危漏洞攻擊進行檢測和攔截,如下圖所示:
點選右側“詳情”按鈕即可檢視具體資訊和攻擊payload:
IOC
惡意域名
*.windowsupdatesupport.org
*.gunupdatepkg.com
Url
hxxp://m.windowsupdatesupport.org/d/loader.sh
hxxp://m.windowsupdatesupport.org/d/dbus
hxxp://m.windowsupdatesupport.org/d/hideproc.sh
hxxp://m.windowsupdatesupport.org/d/ssh_key.sh
hxxp://m.windowsupdatesupport.org/d/windowsupdatev1.json
hxxp://m.windowsupdatesupport.org/d/autoupdate
hxxp://m.windowsupdatesupport.org/d/kworkers
hxxp://m.windowsupdatesupport.org/d/service.exe
hxxp://m.windowsupdatesupport.org/d/inj.exe
hxxp://m.windowsupdatesupport.org/d/runtime.dll
hxxp://m.windowsupdatesupport.org/d/updater.exe
Md5
1295507537170a526985e1a40250ed36
8d02db4dad1522baa10f9ca03f224dba
5fb1d8d515f9cf17102772a4bc023e78
46171ccf2302e01fa6cb0a97e081a885
阿裡雲安全
國際領先的雲安全解決方案提供方,保護全國 40% 的網站,每天抵禦 60 億次攻擊。
2020 年,國内唯一雲廠商整體安全能力獲國際三大機構(Gartner/Forrester/IDC)認可,以安全能力和市場佔有率的絕對優勢占據上司者地位。
阿裡雲最早提出并定義雲原生安全,持續為雲上使用者提供原生應用、資料、業務、網絡、計算的保護能力,和基礎設施深度融合推動安全服務化,支援彈性、動态、複雜的行業場景,獲得包括政府、金融、網際網路等各行業使用者認可。
作為亞太區最早布局機密計算、最全合規資質認證和使用者隐私保護的先行者,阿裡雲從硬體級安全可信根、硬體固件安全、系統可信鍊、可信執行環境和合規資質等方面落地可信計算環境,為使用者提供全球最高等級的安全可信雲。