DarkCrewFriends黑客组织攻击分析 – 作者:Kriston

admin

3年前发布
关注私信

0130

Check Point研究人员最近发现黑客组织“DarkCrewFriends”发起的攻击活动，其主要目的是利用存在漏洞的PHP服务器组建僵尸网络。攻击主要利用文件上传漏洞，上传恶意PHP web shell并使用IRC通道与C&C服务器通信。攻击者可以利用植入的恶意软件发起DDoS攻击或远程执行命令。

攻击分析

攻击链

攻击链示意图如下：

分析中发现受害者服务器上有一个PHP后门，攻击者向存在漏洞的目标服务器发送请求，绕过服务器的文件扩展名检查的同时上传任意文件，最终可在目标系统上执行任意代码，其中一个漏洞就是由DarkCrewFriends创建并发布，如下图。

PHP后门

攻击者在受害者的服务器上传了以下web shell。

代码定义了名为osc的参数，执行解压缩后的base64字符串，另一个版本的PHP后门中定义了名为anon的参数。成功上传文件后返回值如下：

解码后程序如下：

恶意文件下载

后门初始化后，攻击者调用osc的参数，执行以下代码：

解码字符串后发现了下载和执行两个.aff文件的命令，最后会删除所有.aff文件。解码后命令如下：

下载了这两个.aff文件发现实际上是PHP和Perl文件，攻击者隐藏文件扩展名避免被检测。从攻击日志中获得了攻击者的源IP地址190.145.107.220，相关联域名为lubrisana[.]com。

研究人员还调查了pkalexeivic[.]com域的历史记录，该域曾用于存储恶意的.aff文件，并发现时间上存在相似之处。

恶意软件分析

攻击者使用的恶意软件具有如下功能：

1、同时开启多个进程

2、暂停脚本执行，避免被检测

3、远程执行命令

4、提取主机上所有正在运行的服务

5、下载上传FTP文件

6、扫描端口

7、发起多种类型DDOS攻击

8、执行多个IRC命令

恶意软件使用IRC协议进行通信，攻击者可在IRC信道中执行各种命令。

DDoS攻击类型会通过PRIVMSG（IRC用户之间传输的私人消息）发送给攻击者，并从C&C回复中获取所需的操作。

攻击者利用以下函数下载并执行文件，在目标系统上执行代码：

攻击者还可以在受影响的计算机上执行shell命令，命令由C&C服务器发送：

上传下载代码如下：

分析中发现恶意软件变种在网上广泛传播：

Github源码：

攻击者调查

根据代码和情报分析，这次攻击与黑客组织DarkCrewFriends有关。以下是一些线索：

DarkCrewFriends在web shell代码中的签名：

bot admin中的realname字段：

该组织曾与一家意大利新闻网站的黑客攻击活动有关：

在黑客论坛中进行了更深入的搜索后找到名为“ SOULDRK”的用户，该用户公开了该组织的漏洞利用情况。在查看黑客论坛中该用户的帖子时，推测该用户使用的可能是意大利语。

该组织提供不同的服务，所有的服务都有明确定价，付款仅以BTC为单位。这些帖子发布于2013年至2015年之间，2019年9月发现以下最新帖子：

IOCs

C&C server

182[.]53.220.81

Domains

pkalexeivic[.]com

Files hashes

52fed95c6428ceca398d601a0f0a6a36dedb51799ae28f56f4e789917226dd84
0f3062e22d8facfa05e6e6a1299b34d6bcbf7c22aa65241f6e332b71dcc80e15

参考来源

checkpoint

来源：freebuf.com 2020-07-03 10:44:52 by: Kriston

© 版权声明

文章版权归作者所有，未经允许请勿转载。

THE END

安全网站文章

喜欢就支持一下吧

相关推荐

评论抢沙发

请登录后发表评论