首页 >> 网络安全 >>病毒分析 >> 多级攻击提供BillGates / Setag后门,可以将Elasticsearch数据库变成DDoS僵尸网络'僵尸'
详细内容

多级攻击提供BillGates / Setag后门,可以将Elasticsearch数据库变成DDoS僵尸网络'僵尸'

Elasticsearch对网络犯罪滥用并不陌生,因为它受到了组织的欢迎和使用。事实上,今年第一季度看到的攻击激增-无论是通过利用漏洞或利用安全漏洞的-水平反对Elasticsearch服务器。这些攻击主要是提供 加密货币挖掘恶意软件,就像我们去年看到的一次攻击一样。


我们发现的最新攻击通过提供后门作为其有效载荷而偏离了通常的利润驱动动机。这些威胁可以将受影响的目标转变为分布式拒绝服务(DDoS)攻击中使用的僵尸网络僵尸。


攻击链涉及搜索暴露或可公开访问的Elasticsearch数据库/服务器。恶意软件将使用带有编码Java命令的攻击者制作的搜索查询来调用shell。成功执行此操作后,将从域中下载第一个恶意脚本,在我们的分析中,该域似乎是可消耗的或易于替换的。第一阶段脚本将尝试关闭防火墙以及竞争和已经运行的加密货币挖掘活动和其他进程。然后可能从受感染的网站检索第二阶段脚本。


检索脚本的方式值得注意。例如,使用可消耗域允许攻击者在检测到URL后立即进行交换。滥用受到破坏的网站也可以让他们逃避对攻击者特别开发的网站的检测。

1.jpg

图1.攻击的感染链

攻击链

在我们看到的攻击中,所涉及的URL旨在利用 CVE-2015-1427,这是Elasticsearch的Groovy脚本引擎(版本1.3.0 - 1.3.7和1.4.0 - 1.4中一个旧的且已经更新的漏洞) .2),如下所示(突出显示):

2.png

这次袭击有两个阶段。首先,dropper运行脚本s67.sh,如图2所示。它定义了使用哪个shell以及在哪里找到它,然后尝试停止防火墙。它将使用curl命令下载第二阶段脚本(s66.sh),如果不成功则使用wget。


第二阶段的脚本具有与第一阶段类似的功能; 它还定义了使用哪个shell并停止防火墙。相反,此脚本会删除某些文件 - 可能是与竞争加密货币矿工相关的文件 - 以及/ tmp目录中的各种配置文件。然后,它会杀死其他或已经存在的加密货币挖掘活动以及其他不需要的进程,以便运行自己的操作。然后该脚本将删除初始感染的痕迹并终止在某些TCP端口上运行的进程,如图4所示。攻击的第二阶段还需要下载实际的二进制文件(图5),这很可能是托管在受感染或灰色的网站上。

3.jpg

图2.显示第一阶段脚本的代码片段

4.jpg

图3.第二阶段脚本的代码片段,显示了它所杀死的进程

4.png

图4.显示TCP端口中的进程如何终止的代码片段

5.png

图5.显示二进制/有效负载功能的代码片段

BillGates / Setag有效负载

仔细研究二进制文件后发现后门变种(趋势科技检测为 ELF_SETAG.SM)窃取系统信息并具有发起DDoS攻击的能力。同样的后门也被用于 CVE-2017-5638的漏洞,这是 Apache Struts 2中的一个远程代码执行漏洞。


这些样本具有BillGates恶意软件的标志,这些恶意软件首次在2014年遇到并以用于劫持系统和发起DDoS攻击而闻名。最近,我们看到了与僵尸网络相关活动中涉及的BillGates恶意软件的变种。


图6显示了有效负载的代码片段。它有代码可以阻止调试并检查它是否被篡改。此恶意软件还会将受影响系统的systools(可以查看系统或设备信息)替换为自身副本,并将它们传输到/ usr / bin / dpkgd目录。对于持久性,它会删除一个脚本,该脚本将自己的副本创建到以下路径中:

  • /etc/rc{1-5}.d/S97DbSecuritySpt

  • /etc/rc{1-5}.d/S99selinux

  • /etc/init.d/selinux

  • /etc/init.d/DbSecuritySpt

6.png

图6.显示BillGate恶意软件功能的代码片段:反调试(左上),多级执行(顶级中心),它可以发起的DDoS攻击类型(右上); 和它取代的systools列表(下)

奠定基础

确实,我们看到针对Elasticsearch的许多恶意流量或攻击都是相对简单的,而且往往是利润驱动的。攻击者会查找不安全或配置错误的服务器或利用旧漏洞,然后删除通常由加密货币挖掘恶意软件甚至勒索软件组成的最终有效负载。


因此,采取预防措施来逃避检测并使用多阶段执行技术的攻击是一个危险信号。这次攻击背后的网络犯罪分子或威胁行为者使用了URL编码,在搜索脚本的地方进行了分析,而受到攻击的合法网站可能意味着他们只是在安装实际攻击之前测试他们的黑客工具或准备他们的基础设施。


此攻击突出了正确保护数字资产的重要性,因为不安全的Elasticsearch服务器的影响可能会产生真实的影响。需要注意的是弹性已经发布了补丁的漏洞这种攻击的漏洞,以及指导如何安全,正确配置,并启用其安全功能。其他安全机制(如数据分类,网络分段和入侵防御系统)有助于减少恶意软件和漏洞的进一步暴露。


趋势科技解决方案

组织还可以采用可抵御这些威胁的安全解决方案。趋势科技™XGen™安全性  提供高保真机器学习,可以保护 网关  和 端点,并保护物理,虚拟和云工


妥协指标(IoC):

检测到的散列为ELF_SETAG.SM(SHA-256):

  • 8ebd963f86ba62f45b936f6d6687ccb1e349a0f8a6cc19286457895c885695c8(.pprt)

  • cfe3dccf9ba5a17e410e8e7cf8d0ff5c1b8688f99881b53933006250b6421468(.ppol)


相关域名/网址:

  • hxxps:[。] [。] // crazydavesslots COM / PPOL

  • hxxp:[。] // aduidc XYZ

由Tony Bao进行额外分析

————————————————————————

趋势科技  作者:Jindrich Karasek和Augusto Remillano II

技术支持: 建站ABC | 管理登录