Rocke黑客组织活动分析

概述

网络犯罪集团Rocke,主要针对目标为云服务。

通过分析2018年12月至2019年6月16日的NetFlow数据,我们发现调查目标中28​​.1%的云环境与Rocke控制(C2)域有过网络通信数据。其中一些还保持着日常联系。与此同时,20%保持每小时心跳数据传输。该组织还发布了一个名为Godlua的新工具,该工具可以充当代理,允许攻击者执行其他脚本操作,如拒绝服务(DoS)攻击,网络代理和shell功能。

Rocke组织概况

Rocke活动最初于2018年8月报道。Rocke最初专注于Linux的Xbash工具,该工具是一款数据破坏恶意软件。 Xbash通过利用目标未修补的漏洞进行攻击,然后使用弱密码进行横向扩展。当Rocke攻击一个组织时,它要求受害者支付0.2,0.15或0.02比特币(BTC)来恢复丢失的数据。但由于Xbash在勒索赎金之前删除了数据库表,因此Rocke无法恢复任何数据。Rocke的BTC钱包包含48笔转账,包含0.964 BTC。

Rocke攻击流程

该组织的第一个加密脚步是用Python编写的,并使用Pastebin、GitHub作为下载第一阶段有效payload的平台。截至2019年3月12日,Rocke也开始使用Golang。第一阶段payload引导受害者连接到Rocke域或IP地址,触发第二阶段payload的下载。

该组织有12步操作的特点,自Rocke首次报道以来,该风格保持一致:

1、攻击者将第一个有效负载上传到第三方站点(例如,Pastebin,GitHub)

2、引诱受害者导航到Pastebin / GitHub(例如,鱼叉式网络钓鱼)

3、利用已知漏洞(例如,Oracle WebLogic,Adobe ColdFusion,Apache Struts)

4、受害者下载后门(例如,Shell Scripts,JavaScript Backdoor)

5、受害者通过Python或Golang脚本运行第一个payload并连接到C2服务器

6、下载并执行第二个payload,获得对系统的管理访问权限

7、通过cron作业命令建立持久控制

8、搜索并杀死以前安装的加密进程

9、添加“IPtables”规则以阻止未来进行的加密过程

10、卸载基于代理的云安全工具(例如,腾讯云,阿里云)

11、下载并安装Monero挖矿软件

12、隐藏进程

Rocke基础架构

Rocke通过硬编码IP地址,URL地址、域名注册与受害人进行连接,将8个域与Rocke C2操作联系起来。 下图列出了域和Rocke基础架构(参见表1)。

Rocke新攻击

在分析Godlua之前,研究表明Rocke恶意软件在受到破坏的云系统上执行单一操作功能。 但是Godlua的报告引用了包含类似于Rocke的TTP的恶意软件样本。经过进一步研究,确定不仅TTP匹配,而且还有硬编码域,URL和IP地址与先前报告的Rocke恶意软件硬编码值相同。研究人员分析了Reddit(致力于减少网络恶意软件的白帽组织)中的四个二进制文件,并确认了样本中包含的硬编码Rocke域systemten [.] org。样本还包含与已知Rocke报告的Pastebin URL的硬编码链接:

hxxps://pastebin[.]com/raw/HWBVXK6H

hxxps://pastebin[.]com/raw/60T3uCcb

hxxps://pastebin[.]com/raw/rPB8eDpu

hxxps://pastebin[.]com/raw/wR3ETdbi

hxxps://pastebin[.]com/raw/Va86JYqw

hxxps://pastebin[.]com/raw/Va86JYqw

正如 Godlua分析报告 中所见,IP地址104.238.151 .101和URL d.heheda.tk,c.heheda.tk和dd.heheda.tk为硬编码。 发布到Reddit的与Rocke组织有关的恶意软件中也发现C2连接被发送到三个heheda. tk域,这些域已解析为IP地址104.238.151.101。 另外,样本包含已知的Rocke域sowcar[.]com, z9ls[.]com, baocangwh[.]cn, gwjyhs[.]com,和 w2wz[.]cn.的硬编码值。有关如何将已知的Rocke域与从Godlua和Reddit IoC报告中提取请参见图1。

该报告提供的证据表明,Rocke已经添加了第三阶段恶意软件组件,该组件向c.heheda.tk或c.cloudappconfig. com执行第三个C2请求,从而下载名为Godlua的LUA脚本。 该恶意软件为Rocke的操作提供了模块化功能。 除DoS功能外,恶意软件还引入了以下新功能:

HANDSHAKE
HEARTBEAT
LUA
SHELL
UPGRADE
QUIT
SHELL2
PROXY

Godlua报告还提供了Rocke已添加LUA切换功能。 报告指出,攻击者对域名 www.liuxiaobei.com 进行了DoS攻击。 此域名无法解析为任何已知系统,目前尚不清楚第三阶段恶意软件还实现了哪些功能。 但是,通过“Shell”,“Shell2”,“升级”和“代理”等选项,恶意软件可能是模块化系统代理的开始,它允许Rocke 利用新添加功能模块更灵活的加密和破坏数据。

NetFlow中的发现

通过在云端捕获NetFlow通信研究人员发现,28.1%的被调查云环境至少与已知的Rocke C2域进行了一次活动通信会话。 从2018年12月至今,其中一些还保持着日常联系。

通过分析Rocke的TTP模式,在指定时间范围内将已知的Rocke域解析为IP地址,并根据这些IP地址以及与Rocke链接的硬编码IP地址查询网络流量,从中发现了Rocke通信。

硬编码IP地址为受害目标提供了明确的连接。 在撰写本文时,已知自2019年1月1日起,104.238.151.101已解析为以下URL:

c.cloudappconfig[.]com

d.cloudappconfig[.]com

f.cloudappconfig[.]com

img0.cloudappconfig[.]com

img2.cloudappconfig[.]com

v.cloudappconfig[.]com

c.heheda[.]tk

d.heheda[.]tk

dd.heheda[.]tk

这些URL与Godlua和Reddit报告中的URL一致,与此IP地址任何连接都应被视为恶意连接。 研究人员确定了来自四个受监控组织的411个连接,这些组织与IP地址104.238.151.101建立了八个或更多的网络连接。 组织1中,第一次看到的连接和最后看到的连接之间的最长时间是五天,单个连接的最短时间为组织4的一小时(见表2)。

从104.238.151.101推断,这四个组织也与其他已知的Rocke域相关联。 组织1在2019年4月12日至5月31日期间连接到三个Rocke域,有290个连接。 组织4在2019年3月20日至5月15日期间连接到7个域,具有8,231个连接。 如表3所示,四个组织在与Rockede的硬编码IP地址104.238.151.101连接的时间段内连接到七个已知Rocke域中的一个或多个。

Rocke通信模式

研究人员试图确定是否可以使用NetFlow数据识别从Pastebin下载的初始有效负载。研究人员发现,共有50个组织与Pastebin建立了网络连接。在这50个组织中,有8个组织在与Rocke域的连接的同一小时内与Pastebin建立了网络连接。由于NetFlow流量最小粒度为一小时,且缺乏完整的数据包来确认网络连接的性质,因此无法准确地确定组织被攻击破坏的时间。

在查看NetFlow数据中的Rocke网络流量时,会出现一种截然不同的模式(参见图2)。首先,使用Pastebin建立连接,然后连接到Rocke域。从图像中可以看出,该模式每小时重复一次。此外,图2显示了连接到Pastebin,然后连接到已知的Rocke域,z9ls.com和systemten.org,在同一时间内连接到硬编码的IP地址104.238.151.101。此模式为第三阶段恶意软件活动功能特点,表示信标或心跳样式的活动。

解决方案

要在云环境中解决Rocke入侵问题,建议执行以下操作:

1、使用最新的修补程序和版本更新更新所有云系统模板。
2、使用最新的修补和更新的云模板循环配置所有云系统。
3、购买并配置云监控产品,包括对合规性,网络流量和用户行为的检查。
4、查看云网络配置,安全策略和组,以确保它们符合当前的合规性要求。
5、使用云容器漏洞扫描程序。
6、更新所有威胁情报源。
7、调查云网络流量连接到已知的恶意域或IP。
8、调查组织云环境中出口流量的云网络流量。

总结

Rocke组织持续发展其工具,并利用2016年和2017年发布的漏洞攻击配置不当的云基础架构。该组织使用隐藏状态下的恶意软件获得对云系统的管理访问权限。可根据恶意软件通信模式以及硬编码ip和url对其进行防护。

IOCs

Domains

sowcar[.]com

thyrsi[.]com

w2wz[.]cn

baocangwh[.]cn

z9ls[.]com

gwjyhs[.]com

heheda[.]tk

cloudappconfig[.]com

systemten[.]org

IPs

43.224.225[.]220

67.21.64[.]34

103.52.216[.]35

104.248.53[.]213

104.238.151[.]101

198.204.231[.]250

205.185.122[.]229

Hashes

1608899ff3bd9983df375fd836464500f160f6305fcc35cfb64abbe94643c962

28f92f36883b69e281882f19fec1d89190e913a4e301bfc5d80242b74fcba6fe

a84283095e0c400c3c4fe61283eca6c13dd0a6157a57adf95ae1dcec491ec519

6797018a6f29ce3d447bd3503372f78f9513d4648e5cd3ab5ab194a50c72b9c4

*本文作者:Kriston,转载请注明来自FreeBuf.COM

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章