这种攻击活动的特点在于,攻击者将名为 8UsA.sh 的 Bash 脚本植入到受感染的服务器上。此类攻击事件初见于 2018 年,但在 2020 年 6 月又掀起了新一轮的攻击热潮。遭到入侵的服务器连接到命令和控制服务器,并下载针对特定架构编译的 DDoS 恶意软件样本。C2 通信通过端口 5555 完成,DDoS 通过 Telnet(TCP 端口 23)完成。主 C2 似乎是由 Frantech Solutions 托管的,但该公司已不再提供服务。
僵尸网络大全
什么是 8usa 僵尸网络?
什么是 911-2 僵尸网络?
911(九一一)攻击活动会部署名为 Sora 的已知 Mirai 变体。这种攻击自 2020 年 4 月开始活跃,而且将目标对准物联网设备至少有四个月之久。根据最近的报道,Sora 变体分别利用华为和 Dasan GPON 路由器中的远程代码执行和身份验证绕过漏洞。该变体的另一个特征在于其 XOR 加密密钥值为 0xDEDEFBAF。恶意软件进程中的每个字符串都使用此密钥在内存中解密,并立即再次加密以避免基于内存的检测。该僵尸网络活动的名称源于所部署的恶意软件二进制文件“911”,其扩展名与受害机器的架构相对应。
如需其他阅读材料,请访问 CERT.PL(波兰语) | TrendMicro
什么是 B3astMode 僵尸网络?
B3astMode 是基于 Mirai 的 DDoS 僵尸网络,以 SSH 服务器、华为 HG532 路由器和物联网设备为攻击目标。在此类攻击活动中,攻击者尝试使用暴力入侵 SSH 服务器。如果成功,攻击者会根据受害机器的架构连接到 C&C 服务器并下载名为 B3astMode 的恶意载荷。
为了扩大攻击的僵尸网络,恶意软件试图利用以下两个远程代码执行 (RCE) 漏洞:
- 华为路由器中的 CVE-2017-17215 漏洞,攻击者通过 TCP 端口 37215 发起攻击。
- MVPower 制造的 DVR 中的漏洞,攻击者通过 TCP 端口 60001 发起攻击。
攻击者通过入侵这些设备,扩大所执行的 TCP 和 UDP 泛洪攻击规模。在撰写本文时,已有近 20 万台设备成为此类攻击的潜在受害者。
如需其他阅读材料,请访问下方链接:
什么是 BashLegend 僵尸网络?
BashLegend 是名为 UzzySenpai 的黑客操纵的攻击活动。此类攻击事件初见于 2020 年 5 月,并被 Guardicore 传感器所捕获,之后又在 8 月下旬开始新一轮的攻击热潮。
在该攻击活动中,黑客暴力入侵公共 SSH 服务器。成功连接后,攻击者从其命令和控制服务器下载名为 .0803 的可执行文件。该文件是名为 RootHelper 的开源工具的混淆版本,根据 Github 上的描述,该工具“有助于在受感染的 Linux 系统上进行权限升级”。
然后,攻击者将 XMRig 门罗币挖矿程序连同 JSON 配置文件下载到受感染的机器中。自该攻击活动出现以来,我们观察到这种攻击只使用过一个钱包——89QZqpUHJBUJTYWKXxcHMrWrsJNVhKLUh2EmYd9KbBkmNhY6MNcJc8BJJ89QE621aLWuffSWHe2y7cA9up7t2kohJH42rWY。
BashLegend 的加密挖矿程序使用受感染机器上的 CPU 内核数量来命名其工作线程,例如 1-Squad、4-Squad 等,这有利于我们了解受害者的性质。某些活跃的工作线程被命名为 60-Squad,这表明至少一个拥有 60 个 CPU 内核的受害者遭到了攻击。该攻击事件起源于罗马尼亚,结合在攻击文件中观察到的字符串来判断,BashLegend 操纵者很可能来自罗马尼亚。
什么是 Bins 僵尸网络?
Bins 是一系列 DDoS 攻击活动。攻击者传播的恶意软件是 Mirai 的变体,具有 UDP 和 TCP 泛洪、IP 欺骗等多种功能。有些恶意软件样本伪装成 SSH 守护进程或轻量级 SSH 服务器“DropBear”。恶意软件文件的不同名称恰好对应其所针对的架构:mips、mipsel、sh4、x86、armv6l、i686、powerpc、i586、m68k、sparc、armv4l 和 armv5l。
如需其他阅读材料,请访问下方链接:
什么是 Dota 僵尸网络?
Dota 是一种加密挖矿活动,攻击者使用 SSH 暴力入侵 Linux 机器。在撰写本文时,这种僵尸网络已经活跃了一年多。其攻击载荷包括适用于不同系统架构的门罗币加密挖矿程序,以及一个可扫描内部网络并将恶意软件传播到其他机器的蠕虫模块。机器受感染后,Dota 会更改 root 密码并将其 SSH 密钥写入 authorized_keys 中,从而创建一个后门程序。该攻击活动还会读取系统信息,例如磁盘空间、CPU 型号、可用内存,甚至包括安装的 cron 作业。
加密勒索软件是怎样运作的?
在勒索软件攻击的第一步中,攻击者会入侵网络,通常采取的支持技术是社会工程、钓鱼邮件、恶意电子邮件附件或网络安全边界中的漏洞。随后恶意软件开始在您的网络中移动,尝试充分利用其着陆点造成最大破坏。通常情况下,攻击者会尝试获得域控制器控制权、盗取凭据,并找到和加密各种数据备份,以防止操作人员恢复被感染和冻结的服务。
什么是 FaNeL 僵尸网络?
FaNeL 加密挖矿活动自 2019 年底起出现在 GGSN 中,其操纵者似乎是一位常驻罗马尼亚的个人黑客。FaNeL 通过破解 SSH 服务来入侵目标机器,然后下载各种脚本以分析可用资源(CPU、内存和磁盘空间),并运行 XMRig 加密挖矿程序。FaNeL 的攻击工具可供其他攻击组和业余黑客使用,此类工具包括 ASN 前缀、密码列表和速度测试脚本等。Guardicore 捕获的一些攻击被标记为“Human”,这意味着黑客仍然在测试和评估攻击流及其效率。
什么是 FritzFrog 僵尸网络?
FritzFrog 是一个独特而复杂的 P2P 僵尸网络,自 2020 年 1 月起开始活跃。攻击者使用暴力入侵 SSH 服务器,并部署用 Golang 编写的复杂蠕虫恶意软件,然后将公共 SSH 密钥形式的后门程序添加到受害机器的 authorized_keys 文件中。恶意软件会立即开始侦听端口 1234,准备接收来自网络对等点的命令。FritzFrog 恶意软件会在 Linux 系统上终止占用 CPU 的进程,全力抢占 CPU 份额。
如需其他阅读材料,请访问此处的博文。
什么是 GhOul 僵尸网络?
GhOul 是自 6 月以来在 Guardicore 传感器中发现的一种 DDoS 攻击活动。但是早在 2 月份就已经有人观察到这种攻击。GhOul 通过 SSH 发起攻击,试图将 DDoS 恶意软件传播到 Linux 机器。该恶意软件基于 Mirai 代码,专门针对不同的架构进行编译,类似于 Helios 和 Hakai 变体(参见下方的链接)。其 C2 命令列表包括:TCP、SYN、ACK、XMAS、STOMP、UDPREG、UDPHEX、UDPRAW、HTTPSTOPM、HTTP、VSE、STD、OVH、STOP、KILL。所有这些似乎都是基于各种协议的 DDoS 攻击,使用的攻击载荷格式各不相同。Guardicore 传感器捕获的大部分攻击都源于法国 OVH 下属的机器。命令和控制服务器(在攻击活动活跃期间发现了 8 台)是位于德国、法国和伊朗境内的机器。C2 通信通过端口 3333 执行,这是接收 DDoS 目标列表所必需的。
如需其他阅读材料,请访问下方链接:
什么是 k8h3d 僵尸网络?
k8h3d 攻击活动结合了门罗币加密挖矿程序,以及一个利用 EternalBlue 实现横向移动的蠕虫模块。攻击者首先通过 MS-SQL 入侵受害机器。然后会创建一个名为“k8h3d”、密码为“k8d3j9SjfS7”的新用户,并将 MS-SQL 系统管理员密码更改为随机字符串。创建后门用户后,攻击者借此通过 SMB 连接到机器,并植入多个恶意脚本和二进制文件,其中包括植入程序、特洛伊木马、门罗币加密挖矿程序和 EternalBlue 蠕虫等。恶意载荷通过安装预定的任务和服务(名称包括“Autocheck”、“Autoscan”、“Bluetooths”、“DnsScan”、“WebServers”和“Ddriver”)而持久驻留。攻击者还会将系统信息发送到其命令和控制服务器,从这些服务器可以下载和执行额外的攻击载荷。
如需其他阅读材料,请访问下方链接:
什么是 Mirai 僵尸网络?
最近捕获的 ARM 二进制文件经过研究表明,CVE-2021-44228 经修改后可以感染机器并协助 Mirai 僵尸网络所用的恶意软件扩散。我们在以前的 Akamai 博客中提到过,CVE-2021-44228 是 Log4j 中一个未经身份验证的远程代码执行 (RCE) 漏洞。
此漏洞影响 Log4j 的多个版本以及依赖其运行的应用程序,其中包括 Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等。如前所述,我们强烈建议针对此漏洞进行修补,而且 Akamai 已经为客户部署有助于缓解攻击的规则集。
如需其他阅读材料,请访问此处的博文。
什么是 Monerossh 僵尸网络?
这是一种很普通的门罗币挖矿僵尸网络活动,攻击者通过 SSH 入侵受害机器。服务器受感染后,攻击者会执行一个简单的 Bash 脚本,以下载加密挖矿程序载荷,也就是一个 gzip 压缩文件。对该文件进行解压缩后,会生成一个新的文件夹 .ssh,其中包含两个文件:名为 sshd 的挖矿程序可执行文件和 JSON 配置文件。根据 HashVault 矿池中的观察结果,在迄今为止六个月的生命周期中,操纵者通过此攻击活动窃取了大约 1200 美元的资金。
操纵者似乎使用一个钱包来收集门罗币:454Bkqa8C2GXCA3mFaPu1P6z3zwTqZjaRc1bB1gWVjkmBLJDcVbbE3VH6e3eKY78ihZYhFH63poLQ5Uvs65ukhV291DqCmk。Guardicore 全球传感器网络遭到的攻击来源于 6 个不同的 IP 地址,分别位于美国和德国。攻击事件的数量从每月约 20 起增加到了 4 月的 100 多起。
什么是 Nansh0u 僵尸网络?
Nansh0u 是源自中国的攻击活动,目标在于入侵全球的 Windows MS-SQL 和 phpMyAdmin 服务器。遭到攻击的机器包括医疗保健、电信、媒体和 IT 行业多家企业的 50,000 多台服务器。一旦遭到入侵,目标服务器就会被恶意载荷感染。然后,这些恶意程序会植入加密挖矿程序并安装复杂的内核模式 Rootkit,防止恶意软件被终止。
什么是 please_read_me 或 please_read_me_vvv 僵尸网络?
与许多其他的攻击活动不同,这并非加密挖矿僵尸网络。在此类攻击中,攻击者使用 MySQL 暴力入侵受害机器,然后尝试加密数据库。攻击者会在名为“警告”的表格中留下勒索信,内容是:
“要想恢复你丢失的数据库并避免数据泄漏,发送 0.06 比特币 (BTC) 到比特币地址 1NdeFcTXpXvUxvWqPP988A4Txcv3LzXmif,并通过电子邮件 (recvr19@protonmail.com) 联系我们,提供你的服务器 IP 或域名以及付款证明。如果你不确定我们是否有你的数据,请联系我们,我们会向你发送证明。你的数据库已下载并备份在我们的服务器上。如果我们在接下来的 10 天内没有收到付款,我们将公开或者使用你的数据库。”
在撰写本文时,勒索信中使用的钱包地址已超过 30 个,总计余额为 0.689 BTC,约合 6250 美元。
什么是 Smominru 僵尸网络?
Smominru 僵尸网络及其不同的变体(Hexmen 和 Mykings)自 2017 年起开始活跃。这种攻击使用 EternalBlue 工具利用漏洞并且暴力破解各种服务,包括 MS-SQL、RDP、Telnet 等,从而入侵 Windows 机器。在感染后的阶段,攻击者会窃取受害者凭据,安装特洛伊木马模块和加密挖矿程序,并在网络内传播。
什么是 Uwush 僵尸网络?
Uwush(或“Stokers”)是类似于 Mirai 的僵尸网络。攻击者首先通过 SSH 进行入侵,然后下载并执行名为“UwUsh”的 Bash 脚本。此脚本下载名为“Stokers”的 UPX 打包恶意软件并且全部执行,这些程序针对不同的架构创建,攻击者希望其中一个能够成功捕捉到想要的数据。此恶意软件具有多种功能,其中最突出的自然是基于 UDP 的 DDoS 攻击,以及 HTTP 和 TCP 的不同数据包类型。这种僵尸网络支持“KILLDROPPERS”和“KILLBINS”这两个命令,用于消除竞争进程(或者是旧版的恶意软件)。Stokers 字符串中所见的恶意软件名称包括 Ayedz、DEMONS、Execution、Fierce、Josho、Okami、Owari、Tsunami、apep、chiemi、fortnite、gemini、hoho、kowa、kratos、miori、mips.yakuza、mirai、miraint、shiro、sora、yakuza 和 z3hir。列表中的每一项都针对不同的架构而创建,这是类似 Mirai 的僵尸网络的一种典型做法。在撰写本文时,所有攻击事件都是从前缀为 89.42.133.0/24 的机器下载 Uwush 脚本。
什么是 Vollgar 僵尸网络?
Vollgar 是一种长期运行的攻击活动,目标在于入侵运行 MS-SQL 服务器的 Windows 机器。此攻击活动可追溯到 2018 年 5 月,攻击者使用密码暴力入侵受害机器,部署多个后门程序并执行大量恶意模块,例如多功能 RAT(远程访问工具)和加密挖矿程序。
什么是 WireX 僵尸网络?
2017 年 8 月 17 日,僵尸网络 WireX 对多家内容交付网络 (CDN) 和内容提供商发起猛烈攻击。WireX 得名于命令和控制协议中分隔符字符串的变位词。WireX 僵尸网络主要包含运行恶意应用程序的安卓设备,其目的是创建分布式拒绝服务 (DDoS) 攻击流量。该僵尸网络有时会向目标发送勒索信。
如需其他阅读材料,请访问 此处的博文。
什么是 Yart7 僵尸网络?
Yart7 是针对 SSH 服务器发起的 DDoS 攻击活动。该僵尸网络通过暴力破解 SSH 服务器进行传播。成功登录后,攻击者连接到 C&C 服务器并下载名为 7rtya 的恶意载荷,此攻击载荷符合受害机器的架构。一旦恶意软件被执行,遭到入侵的机器便开始通过 Telnet 协议(TCP 端口 23)向数以万计的 IP 地址发送 DDoS 数据包。自 2020 年 9 月初这种攻击活动开始出现以来,被发现的源 IP 地址只有三个,其中两个位于奥地利。我们将这种攻击活动命名为 Yart7,取自其恶意软件文件名的变位词。