收藏 [登錄/注冊] 歡迎
榕基門戶網及子站
聯系我們
  • 福建榕基軟件股份有限公司
  • 電話:0591-87860988
  • 傳真:0591-87869595
  • 地址:福建省福州市鼓樓區
  •    軟件大道89號
  •    A區15座
  • 郵編:350003
您的當前位置:首頁 > 技術支持 > 安全公告

對云計算的巨大威脅:Rocke惡意組織調查報告

執行摘要

Unit 42團隊用了六個月的時間研究了位于中國的網絡犯罪集團Rocke,該惡意組織是針對云計算領域最著名的威脅行為者。在我們最近發布的云威脅報告中,發布了對Rocke的調查結果。該研究報告深入分析了我們針對Rocke的調查結果,發現該惡意組織可以在幾乎沒有干擾和有限檢測風險的情況下開展業務。

通過對2018年12月至2019年6月16日的NetFlow數據進行分析,我們發現在分析的云環境中,有28.1%至少存在一個完全建立的網絡連接,至少有一個已知的Rocke命令和控制(C2)域。其中一些組織,幾乎與攻擊者保持著每日的通信聯系。與此同時,有20%的組織保持每小時的心跳連接,該特征與Rocke的戰術、技術和程序(TTP)一致。

該惡意組織還發布了一個名為Godlua的新型工具,該工具可以充當代理,允許該惡意組織的成員執行其他腳本操作,包括拒絕服務(DoS)攻擊、網絡代理和兩個Shell功能。Unit 42還發現了NetFlow流量中的網絡流量識別模式,這些模式提供了針對Rocke TTP以及防御者如何開發檢測功能的獨特見解。

關于Rocke惡意組織

Rocke,又稱為Iron組織、SystemTen、Kerberods/Khugepageds,此前Rocke的惡意活動在2018年8月被披露。在此之后,研究人員發表了關于該惡意組織所使用的Golang編程語言和新后門Godlua的研究結果。有一篇研究文章將Rocke惡意運營關聯到MITRE ATT&CK框架。Unit 42還發布了關于該組織的Xbash勒索軟件工具及其云安全逃避和加密貨幣挖礦技術的分析文章。

Rocke最初通過使用針對Linux系統的Xbash工具,開展勒索軟件相關的惡意活動,使用一種功能上類似于NotPetya的數據破壞惡意軟件。NotPetya使用EternalBlue(永恒之藍)漏洞利用網絡進行傳播。Xbash使用了組織未修復的漏洞以及弱密碼進行橫向移動,這一過程可能會限制其整體效率。當Rocke攻擊某一個特定組織時,它要求受害者支付0.2、0.15或0.02比特幣(BTC)從而恢復丟失的數據。但是,由于Xbash在要求勒索贖金之前就已經刪除了數據庫表,因此即使支付了贖金,Rocke也無法恢復任何數據。在Unit 42發布此研究成果時,Rocke的BTC錢包僅僅有48次轉賬,共計0.964 BTC(按照當前匯率折合為10130美元)。

Rocke的加密貨幣挖礦運營

與Rocke的Xbash惡意軟件一樣,該組織的第一個加密貨幣挖掘運營是使用Python編寫的,并使用Pastebin或GitHub作為下載第一階段Payload的代碼存儲庫。截止2019年3月12日,Rocke惡意攻擊者也開始使用Golang語言。第一階段Payload指示受害者的系統連接到硬編碼的Rocke域名或IP地址,這將會觸發第二階段Payload的下載。

Unit 42觀察到了獨特的12步運營模式,自Rocke首次被發現以來,這一風格似乎保持一致:

1、惡意攻擊者將第一個Payload上傳到第三方站點(例如:Pastebin或GitHub);

2、利用魚叉式網絡釣魚等方式,誘導受害者訪問Pastebin或GitHub;

3、利用Oracle WebLogic、Adobe ColdFusion、Apache Struts等已知漏洞;

4、受害者下載Shell Scripts或JavaScript Backdoor等后門;

5、受害者通過Python或Golang腳本運行第一個Payload,并連接到C2服務器;

6、下載并執行第二個Payload腳本,獲得對系統的管理員訪問權限;

7、通過cron任務命令創建持久性;

8、搜索并關閉以前安裝的加密貨幣挖礦進程;

9、添加IPtables以阻止將來可能存在的加密貨幣挖礦進程;

10、卸載基于代理的云安全工具(例如:騰訊云、阿里云);

11、下載并安裝門羅幣(Monero)挖礦軟件;

12、Rootkit XMRig挖礦進程通過Linux“ps”命令使用libprocesshider。

Rocke基礎設施

截至撰寫本文時,我們通過硬編碼的IP地址、URL地址或域名注冊信息(例如:WHOIS注冊人電子郵件地址),將8個域名與Rocke C2運營者聯系起來。下面列出了域名對應的Rocke惡意組織基礎架構。

域名:sowcar[.]com

Rocke的連接方式:硬編碼IOC

連接信息:[email protected][.]com

關聯IP:

23.234.4[.]151

23.234.4[.]153

27.221.28[.]231

27.221.54[.]252

36.103.236[.]221

36.103.247[.]121

36.248.26[.]205

42.202.141[.]230

42.236.125[.]84

42.56.76[.]104

43.242.166[.]88

59.83.204[.]14

60.167.222[.]122

61.140.13[.]251

104.31.68[.]79

104.31.69[.]79

113.142.51[.]219

113.200.16[.]234

116.211.184[.]212

118.213.118[.]94

118.25.145[.]24

122.246.6[.]183

125.74.45[.]101

150.138.184[.]119

182.118.11[.]126

182.118.11[.]193

182.247.250[.]251

182.247.254[.]83

183.224.33[.]79

211.91.160[.]159

211.91.160[.]238

218.75.176[.]126

219.147.231[.]79

221.204.60[.]69

域名:thyrsi[.]com

Rocke的連接方式:WHOIS注冊

連接信息:[email protected][.]com

關聯IP:

23.234.4[.]151

23.234.4[.]153

103.52.216[.]35

104.27.138[.]223

104.27.139[.]223

205.185.122[.]229

209.141.41[.]204

域名:w2wz[.]cn

Rocke的連接方式:WHOIS注冊

連接信息:[email protected][.]com

關聯IP:

36.103.236[.]221

36.103.247[.]121

42.202.141[.]230

58.215.145[.]137

58.216.107[.]77

58.218.208[.]13

60.167.222[.]122

61.140.13[.]251

113.142.51[.]219

113.96.98[.]113

116.211.184[.]212

118.213.118[.]94

118.25.145[.]241

121.207.229[.]203

122.246.20[.]201

125.74.45[.]101

140.249.61[.]134

150.138.184[.]119

182.118.11[.]193

182.247.250[.]251

218.75.176[.]126

219.147.231[.]79

222.186.49[.]224

域名:baocangwh[.]cn

Rocke的連接方式:WHOIS注冊

連接信息:[email protected][.]com

關聯IP:

103.52.216[.]35

104.18.38[.]253

104.18.39[.]253

104.31.92[.]26

104.31.93[.]26

119.28.48[.]240

205.185.122[.]229

域名:z9ls[.]com

Rocke的連接方式:WHOIS注冊

連接信息:[email protected][.]com

關聯IP:

103.52.216[.]35

104.27.134[.]168

104.27.135[.]168

104.31.80[.]164

104.31.81[.]164

172.64.104[.]10

172.64.105[.]10

205.185.122[.]229

域名:gwjyhs[.]com

Rocke的連接方式:硬編碼的域名

連接信息:gwjyhs[.]com

關聯IP:

103.52.216[.]35

104.27.138[.]191

104.27.139[.]191

205.185.122[.]229

域名:heheda[.]tk

Rocke的連接方式:硬編碼IP或域名

連接信息:

104.238.151.101

c.heheda[.]tk

d.heheda[.]tk

dd.heheda[.]tk

關聯IP:

104.18.58[.]79

104.18.59[.]79

104.238.151[.]101

195.20.40[.]95

198.204.231[.]250

域名:cloudappconfig[.]com

Rocke的連接方式:硬編碼IP或域名

連接信息:

104.238.151.101

c.cloudappconfig[.]com

img0.cloudappconfig[.]com

Img1.cloudappconfig[.]com

img2.cloudappconfig[.]com

關聯IP:

43.224.225[.]220

67.21.64[.]34

104.238.151[.]101

198.204.231[.]250

域名:systemten[.]org

Rocke的連接方式:硬編碼的域名

連接信息:systemten[.]org

關聯IP:

104.248.53[.]213

104.31.92[.]233

104.31.93[.]233

134.209.104[.]20

165.22.156[.]147

185.193.125[.]146

Rocke的新攻擊維度

在上一節列出的TTP中,沒有考慮到Rocke惡意運營者潛在的第三階段。在分析Godlua后門之前,Rocke惡意軟件似乎在被攻陷的云系統上執行單一的運營功能。在Godlua的報告中,描述了包含類似于Rocke的TTP的惡意軟件樣本。經過進一步研究,Unit 42確認不僅其TTP匹配,而且其硬編碼域名、URL和IP地址與先前報告的Rocke惡意軟件硬編碼值重疊。由于針對r/LinuxMalware的事件調查結果已經在Subreddit上發布,調查結果包括惡意軟件樣本元數據也已經上傳到GitHub,因此就可以進行此類橫向對比分析。Reddit帖子的作者經營著非營利組織MalwareMustDie,這是一個致力于打擊互聯網惡意軟件的白帽組織。Unit 42的研究人員分析了Reddit中列出的四個二進制文件,并確認了樣本中包含的硬編碼Rocke域名systemten[.]org,這在Reddit中有所說明。該樣本還包含與已知Rocke報告重疊的Pastebin URL的硬編碼鏈接:

· hxxps://pastebin[.]com/raw/HWBVXK6H

· hxxps://pastebin[.]com/raw/60T3uCcb

· hxxps://pastebin[.]com/raw/rPB8eDpu

· hxxps://pastebin[.]com/raw/wR3ETdbi

· hxxps://pastebin[.]com/raw/Va86JYqw

·hxxps://pastebin[.]com/raw/Va86Jyqw

正如Godlua的博客中所見,IP地址104.238.151[.]101和URL d.heheda[.]tk、c.heheda[.]tk、dd.heheda[.]tk被發現是硬編碼的IP和URL。根據Reddit發布的Rocke惡意組織相關事件應急響應過程,也發現C2連接被發送到3個heheda[.]tk域名,這些域名被解析到IP地址104.238.151[.]101,同樣在Godlua報告中出現過。另外,惡意樣本包含已知的Rocke域名sowcar[.]com、z9ls[.]com、baocangwh[.]cn、gwjyhs[.]com和w2wz[.]cn。有關如何根據已識別的威脅指標(IoC)將已知的Rocke域名與已知的Godlua域名聯系起來,請參見下圖。

對云計算的巨大威脅:Rocke惡意組織調查報告

Godlua樣本值得關注的一個原因是,Rocke惡意組織已經將DoS(拒絕服務)操作添加到該惡意組織的工具包之中。該報告提供的證據表明,Rocke已經添加了第三階段惡意軟件組件,該組件向c.heheda[.]tk或c.cloudappconfig[.]com執行第三個C2請求,從而下載名為Godlua的LUA腳本。該惡意軟件似乎在Rocke的惡意運營中提供了模塊化功能。除DoS功能外,惡意軟件還引入了以下新的功能:

· HANDSHAKE(握手)

· HEARTBEAT(心跳)

· LUA

· SHELL

· UPGRADE(升級)

· QUIT(退出)

· SHELL2

· PROXY(代理)

Godlua的報告中,還提供了Rocke已經添加LUA切換功能的證據。報告指出,攻擊者對域名www.liuxiaobei[.]com進行了DoS攻擊。在撰寫本文時,該域名無法解析到任何已知的主機。目前尚不清楚第三階段的惡意軟件實現了哪些其他功能。但是,其中的“Shell”、“Shell2”、“Upgrade”和“Proxy”等選項,說明該惡意軟件可能是模塊化系統代理的一個開始,從而允許Rocke攻擊者在加密數據或執行挖礦之外,執行靈活的其他破壞或攻擊行為。

從NetFlow中尋找Rocke的蹤跡

截至撰寫本文時,Unit 42團隊的研究人員發現,在被調查的云環境中,有28.1%的主機至少與已知的Rocke C2域名進行過一次活動通信會話。從2018年12月至今,這些通信幾乎每天都會發生。通過在組織內部或云端上捕獲NetFlow通信,可以實現對這些通信的識別。

Unit 42的研究人員通過分析Rocke的TTP模式,將已知的Rocke域名解析為在指定時間范圍內使用的IP地址,并根據這些已經解析的IP地址以及與Rocke相關的硬編碼IP地址104.238.151[.]101來查詢網絡流量,從而發現了Rocke通信。

這一硬編碼的IP地址與該惡意組織的已知惡意網絡流量具有強相關性。已知自2019年1月1日開始,直到撰寫本文時,104.238.151[.]101已經被解析到以下URL:

· c.cloudappconfig[.]com

· d.cloudappconfig[.]com

· f.cloudappconfig[.]com

· img0.cloudappconfig[.]com

· img2.cloudappconfig[.]com

· v.cloudappconfig[.]com

· c.heheda[.]tk

· d.heheda[.]tk

· dd.heheda[.]tk

上述URL與Godlua和Reddit報告中的URL一致,表示與此IP地址的任何連接都應該被視為惡意。Unit 42的研究人員確定了來自4個受監控組織的411個獨特連接,這些組織與IP地址104.238.151[.]101建立了八個或更多完全建立的網絡連接。這些連接僅僅在短時間內存在于每個組織之中。針對第一個組織,第一次出現的連接和最后一次出現的連接間隔了4天。而針對第四個組織來說,單個連接的最短時間范圍為1小時。

與硬編碼IP 104.238.151[.]101連接的組織:

對云計算的巨大威脅:Rocke惡意組織調查報告

根據104.238.151[.]101推斷,這四個組織也與其他已知的Rocke域名相關聯。組織1在2019年4月12日至5月31日期間連接到3個Rocke域名,產生了290個獨特的連接。組織4在2019年3月20日至5月15日期間連接到7個域名,產生了8231個獨特的連接。如下表所示,四個組織在與硬編碼IP地址104.238.151[.]101連接的相同時間范圍內,還連接到7個已知Rocke域名中的一個或多個。上述證據強烈支撐了域名heheda[.]tk和cloudappcloudconfig[.]com被Rocke惡意組織所使用的推斷,Rocke的第三階段惡意軟件也在相同的時間范圍內可用。

與IP 104.238.151[.]101相關聯的所有Rocke域名的比較:

對云計算的巨大威脅:Rocke惡意組織調查報告

對云計算的巨大威脅:Rocke惡意組織調查報告

對云計算的巨大威脅:Rocke惡意組織調查報告

對云計算的巨大威脅:Rocke惡意組織調查報告

Unit 42研究人員將調查推向了一個新的高度,并且確定了所有受監控的組織與所有已知的Rocke惡意域名具有聯系。研究人員發現,28.1%的云環境中至少包含一個與已知Rocke域名完全建立通信的網絡連接。最早發現的連接發生在2018年12月4日,這樣的連接行為至少持續到2019年6月10日,在這段時間內,與sowcar[.]com和w2wz[.]cn域名有146個獨特的連接。

Rocke的網絡流量模式

最后,Unit 42的研究人員試圖確定是否可以使用NetFlow數據識別出從Pastebin下載的初始Payload。研究人員發現,共有50個組織和Pastebin建立了網絡連接。在這50個組織中,有8個組織在與Rocke域名連接的同一個小時內與Pastebin建立了網絡連接。由于NetFlow流量僅允許將精度設置為最小一個小時,并且沒有進行完整的數據包捕獲,無法讓我們確認網絡連接的性質,因此無法準確地確定組織被攻陷的時間。但是,這些事件指向了關鍵的時間范圍,如果可以的話,應該進一步調查完整的數據包捕獲。

在查看RockF網絡流量在NetFlow數據中的顯示方式時,會發現一種截然不同的模式。首先,使用Pastebin建立連接,然后連接到Rocke域名。從下圖中可以看出,該模式每小時重復一次,這是信標功能的另一個指標,證明了已經安裝到云系統上的第三階段Rocke Payload的存在。此外,下圖展現了連接到Pastebin的源系統的唯一出現,然后連接到已知的Rocke惡意域名z9ls[.]com和systemten[.]org,并在同一時間的框架內連接到硬編碼的IP地址104.238.151[.]101。該模式表示信標或心跳的活動,這也是第三階段惡意軟件功能集中的功能。

獨特的Rocke NetFlow模式:

對云計算的巨大威脅:Rocke惡意組織調查報告

緩解策略

要在云環境中緩解Rocke的惡意活動,建議執行以下操作:

1、使用最新的補丁程序和版本更新,更新所有云系統模板。

2、定期更新所有云系統,以使用最新的補丁和更新的云模板。

3、購買并配置云監控產品,確保其中包括對合規性、網絡流量和用戶行為的檢查。

4、確認云網絡配置、安全策略和組,確保上述內容符合當前的合規性要求。

5、使用云容器漏洞掃描程序。

6、更新提供惡意域名或惡意IP黑名單指標的所有威脅情報源。

7、購買或訂閱Palo Alto Networks MineMeld威脅源,或使用Palo Alto Networks下一代防火墻,其默認選項已經配置為阻止已知的Rocke域和IP連接。

8、調查云網絡流量中,是否存在已經連接到已知惡意域名或惡意IP的數據包。

9、調查組織云環境中的云網絡流量,其出口流量是否包含信標。

總結

Rocke惡意組織主要針對公共云基礎架構發動攻擊,以獲取犯罪收益,該惡意組織持續發展其工具,并利用2016和2017年發布的漏洞攻陷配置不當的云基礎架構。該惡意組織可以使用能夠保持隱藏的惡意軟件,獲得對云系統的管理員訪問權限。隨后,被攻陷的系統可以對已知的Rocke硬編碼IP地址或Rocke擁有的域名執行可預測和可檢測的網絡操作。

Palo Alto Networks的客戶可以受到如下保護:

我們的PAN-DB URL過濾將本文中所列出的C2域名標識為惡意。

上傳到WebShell的所有非法工具都會被WildFire和Traps識別為惡意工具。

ELF和PE格式的惡意軟件簽名已經通過反病毒軟件發布。

PAN-DB URL過濾中包含了所有C2域名。

AutoFocus客戶可以使用以下標簽調查此惡意活動:

· IronCybercrimeGroup

· Xbash

· Kerberods

· Godlua

Palo Alto Networks與我們的網絡威脅聯盟成員分享了我們的研究成果,包括文件樣本和威脅指標。CTA成員利用這種智能、快速的部署方式實現對客戶的保護,并系統地打擊惡意網絡參與者。有關網絡威脅聯盟的更多信息,請訪問www.cyberthreatalliance.org。

威脅指標

域名:

sowcar[.]com

thyrsi[.]com

w2wz[.]cn

baocangwh[.]cn

z9ls[.]com

gwjyhs[.]com

heheda[.]tk

cloudappconfig[.]com

systemten[.]org

IP:

43.224.225[.]220

67.21.64[.]34

103.52.216[.]35

104.248.53[.]213

104.238.151[.]101

198.204.231[.]250

205.185.122[.]229

哈希值:

1608899ff3bd9983df375fd836464500f160f6305fcc35cfb64abbe94643c962

28f92f36883b69e281882f19fec1d89190e913a4e301bfc5d80242b74fcba6fe

a84283095e0c400c3c4fe61283eca6c13dd0a6157a57adf95ae1dcec491ec519

6797018a6f29ce3d447bd3503372f78f9513d4648e5cd3ab5ab194a50c72b9c4

福彩3d跨度走势图300期带连线