DarkCrewFriends黑客组织攻击分析

2020-08-11 15:44:28 浏览数 (1)

Check Point研究人员最近发现黑客组织“DarkCrewFriends”发起的攻击活动,其主要目的是利用存在漏洞的PHP服务器组建僵尸网络。攻击主要利用文件上传漏洞,上传恶意PHP web shell并使用IRC通道与C&C服务器通信。攻击者可以利用植入的恶意软件发起DDoS攻击或远程执行命令。

攻击分析

攻击链

攻击链示意图如下:

分析中发现受害者服务器上有一个PHP后门,攻击者向存在漏洞的目标服务器发送请求,绕过服务器的文件扩展名检查的同时上传任意文件,最终可在目标系统上执行任意代码,其中一个漏洞就是由DarkCrewFriends创建并发布,如下图。

PHP后门

攻击者在受害者的服务器上传了以下web shell。

代码定义了名为osc的参数,执行解压缩后的base64字符串,另一个版本的PHP后门中定义了名为anon的参数。成功上传文件后返回值如下:

解码后程序如下:

恶意文件下载

后门初始化后,攻击者调用osc的参数,执行以下代码:

解码字符串后发现了下载和执行两个.aff文件的命令,最后会删除所有.aff文件。解码后命令如下:

下载了这两个.aff文件发现实际上是PHP和Perl文件,攻击者隐藏文件扩展名避免被检测。从攻击日志中获得了攻击者的源IP地址190.145.107.220,相关联域名为lubrisana[.]com。

研究人员还调查了pkalexeivic[.]com域的历史记录,该域曾用于存储恶意的.aff文件,并发现时间上存在相似之处。

恶意软件分析

攻击者使用的恶意软件具有如下功能:

1、同时开启多个进程 2、暂停脚本执行,避免被检测 3、远程执行命令 4、提取主机上所有正在运行的服务 5、下载上传FTP文件 6、扫描端口 7、发起多种类型DDOS攻击 8、执行多个IRC命令

恶意软件使用IRC协议进行通信,攻击者可在IRC信道中执行各种命令。

DDoS攻击类型会通过PRIVMSG(IRC用户之间传输的私人消息)发送给攻击者,并从C&C回复中获取所需的操作。

攻击者利用以下函数下载并执行文件,在目标系统上执行代码:

攻击者还可以在受影响的计算机上执行shell命令,命令由C&C服务器发送:

上传下载代码如下:

分析中发现恶意软件变种在网上广泛传播:

Github源码:

攻击者调查

根据代码和情报分析,这次攻击与黑客组织DarkCrewFriends有关。以下是一些线索:

DarkCrewFriends在web shell代码中的签名:

bot admin中的realname字段:

该组织曾与一家意大利新闻网站的黑客攻击活动有关:

在黑客论坛中进行了更深入的搜索后找到名为“ SOULDRK”的用户,该用户公开了该组织的漏洞利用情况。在查看黑客论坛中该用户的帖子时,推测该用户使用的可能是意大利语。

该组织提供不同的服务,所有的服务都有明确定价,付款仅以BTC为单位。这些帖子发布于2013年至2015年之间,2019年9月发现以下最新帖子:

IOCs

C&C server

182[.]53.220.81

Domains

pkalexeivic[.]com

Files hashes

52fed95c6428ceca398d601a0f0a6a36dedb51799ae28f56f4e789917226dd84 0f3062e22d8facfa05e6e6a1299b34d6bcbf7c22aa65241f6e332b71dcc80e15

参考来源

checkpoint

0 人点赞