Check Point研究人员最近发现黑客组织“DarkCrewFriends”发起的攻击活动,其主要目的是利用存在漏洞的PHP服务器组建僵尸网络。攻击主要利用文件上传漏洞,上传恶意PHP web shell并使用IRC通道与C&C服务器通信。攻击者可以利用植入的恶意软件发起DDoS攻击或远程执行命令。
攻击分析
攻击链
攻击链示意图如下:
分析中发现受害者服务器上有一个PHP后门,攻击者向存在漏洞的目标服务器发送请求,绕过服务器的文件扩展名检查的同时上传任意文件,最终可在目标系统上执行任意代码,其中一个漏洞就是由DarkCrewFriends创建并发布,如下图。
PHP后门
攻击者在受害者的服务器上传了以下web shell。
代码定义了名为osc的参数,执行解压缩后的base64字符串,另一个版本的PHP后门中定义了名为anon的参数。成功上传文件后返回值如下:
解码后程序如下:
恶意文件下载
后门初始化后,攻击者调用osc的参数,执行以下代码:
解码字符串后发现了下载和执行两个.aff文件的命令,最后会删除所有.aff文件。解码后命令如下:
下载了这两个.aff文件发现实际上是PHP和Perl文件,攻击者隐藏文件扩展名避免被检测。从攻击日志中获得了攻击者的源IP地址190.145.107.220,相关联域名为lubrisana[.]com。
研究人员还调查了pkalexeivic[.]com域的历史记录,该域曾用于存储恶意的.aff文件,并发现时间上存在相似之处。
恶意软件分析
攻击者使用的恶意软件具有如下功能:
1、同时开启多个进程 2、暂停脚本执行,避免被检测 3、远程执行命令 4、提取主机上所有正在运行的服务 5、下载上传FTP文件 6、扫描端口 7、发起多种类型DDOS攻击 8、执行多个IRC命令
恶意软件使用IRC协议进行通信,攻击者可在IRC信道中执行各种命令。
DDoS攻击类型会通过PRIVMSG(IRC用户之间传输的私人消息)发送给攻击者,并从C&C回复中获取所需的操作。
攻击者利用以下函数下载并执行文件,在目标系统上执行代码:
攻击者还可以在受影响的计算机上执行shell命令,命令由C&C服务器发送:
上传下载代码如下:
分析中发现恶意软件变种在网上广泛传播:
Github源码:
攻击者调查
根据代码和情报分析,这次攻击与黑客组织DarkCrewFriends有关。以下是一些线索:
DarkCrewFriends在web shell代码中的签名:
bot admin中的realname字段:
该组织曾与一家意大利新闻网站的黑客攻击活动有关:
在黑客论坛中进行了更深入的搜索后找到名为“ SOULDRK”的用户,该用户公开了该组织的漏洞利用情况。在查看黑客论坛中该用户的帖子时,推测该用户使用的可能是意大利语。
该组织提供不同的服务,所有的服务都有明确定价,付款仅以BTC为单位。这些帖子发布于2013年至2015年之间,2019年9月发现以下最新帖子:
IOCs
C&C server
182[.]53.220.81
Domains
pkalexeivic[.]com
Files hashes
52fed95c6428ceca398d601a0f0a6a36dedb51799ae28f56f4e789917226dd84 0f3062e22d8facfa05e6e6a1299b34d6bcbf7c22aa65241f6e332b71dcc80e15
参考来源
checkpoint