DarkCrewFriends黑客组织攻击分析 – 作者:Kriston

Check Point研究人员最近发现黑客组织“DarkCrewFriends”发起的攻击活动,其主要目的是利用存在漏洞的PHP服务器组建僵尸网络。攻击主要利用文件上传漏洞,上传恶意PHP web shell并使用IRC通道与C&C服务器通信。攻击者可以利用植入的恶意软件发起DDoS攻击或远程执行命令。

攻击分析

攻击链

攻击链示意图如下:图片[1]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科

分析中发现受害者服务器上有一个PHP后门,攻击者向存在漏洞的目标服务器发送请求,绕过服务器的文件扩展名检查的同时上传任意文件,最终可在目标系统上执行任意代码,其中一个漏洞就是由DarkCrewFriends创建并发布,如下图。图片[2]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科

PHP后门

攻击者在受害者的服务器上传了以下web shell。

图片[3]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科

代码定义了名为osc的参数,执行解压缩后的base64字符串,另一个版本的PHP后门中定义了名为anon的参数。成功上传文件后返回值如下:图片[4]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科解码后程序如下:图片[5]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科恶意文件下载
后门初始化后,攻击者调用osc的参数,执行以下代码:图片[6]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科解码字符串后发现了下载和执行两个.aff文件的命令,最后会删除所有.aff文件。解码后命令如下:
图片[7]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科下载了这两个.aff文件发现实际上是PHP和Perl文件,攻击者隐藏文件扩展名避免被检测。从攻击日志中获得了攻击者的源IP地址190.145.107.220,相关联域名为lubrisana[.]com。
图片[8]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科研究人员还调查了pkalexeivic[.]com域的历史记录,该域曾用于存储恶意的.aff文件,并发现时间上存在相似之处。
图片[9]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科

恶意软件分析

攻击者使用的恶意软件具有如下功能:
1、同时开启多个进程
2、暂停脚本执行,避免被检测
3、远程执行命令
4、提取主机上所有正在运行的服务
5、下载上传FTP文件
6、扫描端口
7、发起多种类型DDOS攻击
8、执行多个IRC命令
恶意软件使用IRC协议进行通信,攻击者可在IRC信道中执行各种命令。
DDoS攻击类型会通过PRIVMSG(IRC用户之间传输的私人消息)发送给攻击者,并从C&C回复中获取所需的操作。
图片[10]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科攻击者利用以下函数下载并执行文件,在目标系统上执行代码:图片[11]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科攻击者还可以在受影响的计算机上执行shell命令,命令由C&C服务器发送:图片[12]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科上传下载代码如下:图片[13]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科分析中发现恶意软件变种在网上广泛传播:图片[14]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科Github源码:图片[15]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科

攻击者调查

根据代码和情报分析,这次攻击与黑客组织DarkCrewFriends有关。以下是一些线索:
DarkCrewFriends在web shell代码中的签名:图片[16]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科bot admin中的realname字段:图片[17]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科该组织曾与一家意大利新闻网站的黑客攻击活动有关:图片[18]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科在黑客论坛中进行了更深入的搜索后找到名为“ SOULDRK”的用户,该用户公开了该组织的漏洞利用情况。 在查看黑客论坛中该用户的帖子时,推测该用户使用的可能是意大利语。
图片[19]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科

该组织提供不同的服务,所有的服务都有明确定价,付款仅以BTC为单位。 这些帖子发布于2013年至2015年之间,2019年9月发现以下最新帖子:
图片[20]-DarkCrewFriends黑客组织攻击分析 – 作者:Kriston-安全小百科

IOCs

C&C server

182[.]53.220.81

Domains

pkalexeivic[.]com

Files hashes

52fed95c6428ceca398d601a0f0a6a36dedb51799ae28f56f4e789917226dd84
0f3062e22d8facfa05e6e6a1299b34d6bcbf7c22aa65241f6e332b71dcc80e15

参考来源

checkpoint

来源:freebuf.com 2020-07-03 10:44:52 by: Kriston

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论